Sappiamo che le grandi aziende sono particolarmente avvezze a cambi di nome che generano un po’ di confusione tra gli utenti. Windows Defender è la soluzione per la protezione del sistema che è integrata nelle varie versioni del sistema operativo Microsoft. Dopo aver già subìto un cambio di denominazione, Windows Defender è comunemente associato alla finestra Sicurezza di Windows in Windows 10 e Windows 11: essa ne costituisce l’interfaccia.
Anche se l’appellativo Windows Defender rimane radicato nella memoria degli utenti, la soluzione integrata per la protezione del sistema è stata recentemente rinominata in Microsoft Defender. Dal mese di giugno 2022 l’azienda di Redmond ha iniziato a usare l’espressione Microsoft Defender per riferirsi alla soluzione a pagamento messa a disposizione degli abbonati a Microsoft 365 che consente di gestire e difendere con un approccio centralizzato (basato sul cloud) una batteria di dispositivi. Abbiamo già visto che Microsoft Defender non diventa a pagamento: la versione proposta di default in Windows 10, Windows 11 e Windows Server resta utilizzabile sul singolo sistema senza versare alcun canone di abbonamento.
Ridurre la superficie d’attacco con Defender ASR
Un attacco informatico può sfruttare diversi punti deboli all’interno di un’azienda, di uno studio professionale o sfruttare eventuali leggerezze commesse in ambito domestico.
I punti di attacco utilizzati dagli aggressori restano ad esempio script, eseguibili o macro dannosi incorporati nei documenti Office. Altri possibili punti d’ingresso di un’infezione sono ovviamente i browser Web e programmi di ampio utilizzo, come Adobe Reader, che soffrono di vulnerabilità periodicamente risolte dagli sviluppatori ma che purtroppo possono restare sfruttabili (perché l’utente non installa le patch correttive).
Oltre alle misure che gli amministratori di sistema possono adottare configurando opportunamente le singole applicazioni, Defender fornisce un ulteriore livello di protezione.
Le macro di Office possono essere “addomesticate” con l’aiuto di criteri di gruppo ma le regole di Defender che consentono di ridurre la superficie di attacco contribuiscono a migliorare la situazione.
ASR o riduzione della superficie di attacco (Attack Surface Reduction) è un meccanismo che comprime la “libertà d’azione” delle varie applicazioni utilizzate in Windows evitando che un processo malevolo possa sfruttarle per causare danni e muoversi lateralmente infettando altri dispositivi connessi in rete locale.
La riduzione della superficie di attacco non è inclusa solo nei prodotti a pagamento, come Defender per Endpoint ma fa parte anche di Windows 10, Windows 11 e Windows Server sebbene alcune regole non siano supportate nelle versioni precedenti del sistema operativo.
Il principale svantaggio di Windows Defender in versione gratuita sono le opzioni limitate per la gestione delle abilità ASR e le restrizioni in termini di reportistica. Digitando Sicurezza di Windows nella casella di ricerca del sistema operativo, si accede a una finestra di configurazione molto semplificata che non permette di configurare nel dettaglio il comportamento di Windows Defender o Microsoft Defender che dir si voglia.
L’aspetto molto interessante è che usando l’Editor dei criteri di gruppo (gpedit.msc
) o PowerShell è possibile attivare la protezione ASR di Windows Defender anche su Windows 10 e 11.
Per semplificare le cose e attivare le difese per la riduzione della superficie d’attacco mediante interfaccia grafica suggeriamo di procedere come segue:
- Scaricare e installare il programma gratuito DefenderUI: si tratta di un’interfacci grafica che espone tutte le funzionalità avanzate di Windows Defender.
- Avviare DefenderUI quindi scegliere il profilo di sicurezza Consigliato (il primo della lista). Agendo sul menu a tendina nella barra del titolo si può tradurre l’interfaccia del programma in italiano.
- Cliccando sulla scheda Regole ASR si può verificare che tutte le protezioni principali sono state abilitate riducendo la superficie di attacco.
DefenderUI non deve rimanere in esecuzione: dal momento che l’applicazione si limita ad effettuare alcune modifiche “dietro le quinte” sulla configurazione di Windows Defender, una volta impostato tutto basta chiudere il programma.
Quali protezioni offre ASR di Windows Defender
Un eccellente software come DefenderUI aiuta a impostare con un semplice clic una serie di regole:
- Blocca l’esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile
01443614-cd74-433a-b99e-2ecdc07bfc25
DISATTIVATO - Impedisce ai componenti di Microsoft Office di creare processi figlio
26190899-1602-49e8-8b27-eb1d0a1ce869
ATTIVATO - Impedisce alle applicazioni Office di creare contenuto eseguibile
3b576869-a4ec-4529-8536-b80a7769e899
ATTIVATO - Blocca l’abuso di driver firmati vulnerabili
56a863a9-875e-4185-98a7-b882c64b5ce5
MOSTRA AVVISO - Blocca l’esecuzione di script potenzialmente offuscati
5beb7efe-fd9a-4556-801d-275e5ffc04cc
ATTIVATO - Impedisce alle applicazioni Office di inserire codice in altri processi
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
ATTIVATO - Impedisce ad Adobe Reader di creare processi figlio
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
ATTIVATO - Blocca le chiamate API Win32 dalle macro di Office
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
ATTIVATO - Blocca il furto di credenziali dal sottosistema LSASS di Windows
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
DISATTIVATO - Blocca i processi non attendibili e non firmati eseguiti da USB
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
ATTIVATO - Blocca il contenuto eseguibile proveniente dai client di posta elettronica e dalle Webmail
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
ATTIVATO - Usa la protezione avanzata contro il ransomware
c1db55ab-c21a-4637-bb3f-a12568109d35
ATTIVATO
Questa regola fornisce un ulteriore livello di protezione contro il ransomware. Usa sia l’euristica client che quella cloud per determinare se il comportamento di un file è paragonabile a quello di un ransomware. Non vengono bloccati i file già indicati come non pericolosi nel cloud Microsoft, quelli con una firma digitale valida, gli elementi talmente diffusi da non essere considerabili come ransomware. La regola tende a peccare di eccessivo zelo a scopo precauzionale (risulta piuttosto severa). - Blocca la creazione di processi originati dai comandi PSExec e WMI
d1e49aac-8f56-4280-b9ba-993a6d77406c
DISATTIVATO - Blocca il caricamento di codice JavaScript e VBScript dal contenuto eseguibile scaricato
d3e037e1-3eb8-44c8-a917-57927947596d
ATTIVATO - Impedisce a tutte le applicazioni Office di creare processi figlio
d4f940ab-401b-4efc-aadc-ad5f3c50688a
ATTIVATO - Blocca la persistenza tramite la sottoscrizione di eventi WMI
e6db77e5-3df2-4cf1-b95a-636979351e5b
ATTIVATO
Verificare le regole applicate con DefenderUI per ridurre i rischi d’attacco
Dopo aver cliccato sul profilo di sicurezza Raccomandato in DefenderUI, Windows Defender è impostato come indicato in precedenza. DefenderUI abilita automaticamente le regole in corrispondenza delle quali abbiamo indicato ATTIVATO.
La regola ove figura MOSTRA AVVISO fa sì che Windows Defender mostri un messaggio d’allerta lasciando però decidere all’utente in che modo ci si debba comportare.
Aprendo una finestra PowerShell con i diritti di amministratore (premere Windows+X
quindi scegliere Windows PowerShell (amministratore) oppure Terminale Admin) e digitando quanto segue, si possono appunto verificare le impostazioni applicate da DefenderUI a ciascuna regola:
Get-MpPreference Select-Object AttackSurface* -ExpandProperty AttackSurfaceReductionRules_Ids
Get-MpPreference Select-Object AttackSurface* -ExpandProperty AttackSurfaceReductionRules_Actions
I lunghi identificativi alfanumerici ottenuti con il primo comando corrispondono alle varie regole ASR nell’elenco riportato in precedenza.
Come impostare manualmente le regole per Windows Defender
Gli amministratori di sistema possono eventualmente impostare le varie regole anche a mano usando il comando che segue:
Al posto di identificativo va indicato il lungo ID alfanumerico corrispondente alla regola che si vuole configurare mentre a Enabled si può sostituire Disabled o Warn. Maggiori informazioni sono reperibili nel documento Microsoft sull’attivazione delle regole per la riduzione della superficie di attacco.
Avviando l’Editor Criteri di gruppo locali di Windows (premere Windows+R
quindi digitare gpedit.msc
) si possono abilitare le varie regole ASR seguendo una strada alternativa.
Basta cliccare su Configurazione computer, Modelli amministrativi, Componenti di Windows, Microsoft Defender Antivirus, Microsoft Defender Exploit Guard, Riduzione superficie di attacco.
Con un doppio clic su Configura regole Riduzione superficie di attacco nel pannello di destra, su Attivata quindi sul pulsante Mostra, al di sotto della colonna Nome valore si possono specificare gli identificativi alfanumerici riportati in precedenza. Nella colonna Valore si deve invece indicare 1 per Enabled, 0 per Disabled, 6 per Warn.