Cosa fa "Blocca comportamenti sospetti"?
Questa funzione ha un nome abbastanza vago. Tuttavia, la documentazione di Microsoft chiarisce che "Block Suspicious Behaviors" è solo un nome descrittivo per la "tecnologia di riduzione della superficie di attacco di Windows Defender Exploit Guard." Questa funzionalità di sicurezza è stata introdotta nell'Autumn Creators Update, ma era disponibile solo in Windows 10 Enterprise. Nell'aggiornamento di ottobre 2018, è ora disponibile per tutti tramite un'opzione in Protezione di Windows.
Quando abiliti questa funzione, Windows 10 attiva una serie di regole di sicurezza. Queste regole disabilitano le funzionalità normalmente utilizzate solo dal malware, contribuendo a proteggere il PC dagli attacchi.
Ecco alcune regole di riduzione della superficie di attacco:
- Blocca contenuti eseguibili da client e-mail e webmail
- Blocca le applicazioni di Office dalla creazione di processi secondari
- Blocca le applicazioni Office dalla creazione di contenuti eseguibili
- Blocca le applicazioni Office dall'iniezione di codice in altri processi
- Blocca JavaScript o VBScript dall'avvio del contenuto eseguibile scaricato
- Blocca l'esecuzione di script potenzialmente offuscati
- Blocca le chiamate API Win32 dalla macro di Office
- Blocca le credenziali rubando dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
- Blocca le creazioni di processo originate dai comandi PSExec e WMI
- Blocca processi non attendibili e non firmati eseguiti da USB
- Blocca le applicazioni di comunicazione Office dalla creazione di processi figlio
Si tratta di azioni sospette che potrebbero essere utilizzate da applicazioni dannose. Ad esempio, queste regole bloccano i file eseguibili che arrivano via e-mail, impediscono alle applicazioni di Office di fare cose specifiche e arrestano comportamenti macro pericolosi. Con queste regole abilitate, Windows protegge le credenziali dal furto, blocca l'esecuzione di file eseguibili sospetti sulle unità USB e rifiuta di eseguire script che sembrano mascherati per aggirare il software antivirus.
Troverai un elenco completo delle regole di riduzione della superficie di attacco sul sito di supporto di Microsoft. Le organizzazioni possono personalizzare quali regole vengono utilizzate attraverso i criteri di gruppo, ma i PC consumer medi ottengono un insieme di regole univoche. Non è chiaro esattamente quali regole vengono utilizzate quando si attiva questa opzione in Protezione di Windows.
Fa parte di Windows Defender Exploit Guard
Attack Surface Reduction fa parte di Windows Defender Exploit Guard, che include anche Protezione degli exploit, Protezione della rete e Accesso alle cartelle controllate.
È importante chiarire: "Blocca comportamenti sospetti" non è la stessa funzione di Exploit Protection, che protegge il tuo PC da una varietà di tecniche di exploit comuni. Ad esempio, Exploit Protection protegge dalle comuni tecniche di exploit di memoria utilizzate dagli attacchi zero-day e termina qualsiasi processo che li utilizza. Exploit Protection funziona come il software Enhanced Mitigation Experience Toolkit (EMET) di Microsoft. Attack Surface Reduction disabilita le funzionalità potenzialmente pericolose a un livello superiore.
Exploit Protection è abilitato per impostazione predefinita e puoi modificarlo da un'altra applicazione di sicurezza di Windows. Attack Surface Reduction, o "Block Suspicious Behaviors", non è ancora abilitato di default.
Come abilitare "Block Suspicious Behaviors"
È possibile abilitare questa funzione dall'applicazione di sicurezza di Windows, precedentemente denominata Windows Defender Security Center.
Per trovarlo, vai su Impostazioni> Aggiornamento e sicurezza> Sicurezza di Windows> Apri Windows Security o avvia semplicemente il collegamento "Windows Security" dal menu Start.
