I criteri di analisi funzionale consentono di costruire la massima protezione, quindi devono essere impostati quando si configura l'analisi funzionale.
Nella sezione Criteri di analisi funzionale sono indicate le categorie che possono essere utilizzate per la protezione del profilo. La scelta della categoria dipende dal livello di sicurezza necessario e dalle caratteristiche del sistema.
Categorie di criteri di analisi funzionale
1.Avvio di applicazioni:
▫Proibisci l'avvio di applicazioni firmate con certificati conosciuti in Doctor Web come certificati per adware.
Blocca l'avvio di applicazioni che possono diffondere pubblicità.
▫Proibisci l'avvio di applicazioni firmate con certificati conosciuti in Doctor Web come grigi.
Blocca l'avvio di applicazioni firmate con certificati "grigi". Tali certificati vengono spesso utilizzati per firmare applicazioni non sicure.
▫Proibisci l'avvio di applicazioni firmate con certificati conosciuti in Doctor Web come certificati per l'hacking di programmi.
Blocca l'avvio di applicazioni firmate con certificati utilizzati per l'hacking di programmi. L'uso di questo criterio è consigliato.
▫Proibisci l'avvio di applicazioni firmate con certificati falsi/danneggiati.
Blocca l'avvio di applicazioni malevole firmate con certificati non validi. L'uso di questo criterio è consigliato.
▫Proibisci l'avvio di applicazioni firmate con certificati conosciuti in Doctor Web come certificati per programmi malevoli.
Blocca l'avvio di applicazioni firmate con certificati compromessi. L'uso di questo criterio è consigliato.
▫Proibisci l'avvio di applicazioni firmate con certificati revocati.
Blocca l'avvio di applicazioni firmate con certificati rubati o compromessi. L'uso di questo criterio è consigliato in quanto consente di impedire preventivamente l'avvio di applicazioni potenzialmente malevole.
▫Proibisci l'avvio di applicazioni firmate con certificati autofirmati.
Blocca software senza licenza che possono risultare malevoli.
▫Proibisci l'avvio di applicazioni non firmate.
Blocca l'avvio di applicazioni potenzialmente malevole e inaffidabili la cui origine è sconosciuta.
▫Proibisci l'avvio di utility da Sysinternals.
Protegge dalla compromissione del sistema tramite le utility Sysinternals.
|
Se nella scheda Permessi è selezionato il flag Consenti l'avvio di applicazioni di sistema e applicazioni da Microsoft, le utility Sysinternals si avvieranno anche se l'avvio è vietato. |
▫Proibisci l'avvio di applicazioni da flussi alternativi NTFS (ADS).
Le applicazioni da flussi alternativi NTFS (ADS) sono spesso malevole, pertanto, l'uso di questo criterio è obbligatorio.
▫Proibisci l'avvio di applicazioni dalla rete e risorse condivise.
L'avvio di applicazioni dalla rete e da risorse condivise è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.
▫Proibisci l'avvio di applicazioni da supporti rimovibili.
L'avvio di applicazioni da supporti rimovibili è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.
▫Proibisci l'avvio di applicazioni da directory temporanee.
Blocca l'avvio di applicazioni da directory temporanee.
▫Proibisci l'avvio di applicazioni Windows/Microsoft Store (solo per Windows 8 e superiori).
Blocca l'avvio di applicazioni caricate da Windows/Microsoft Store.
▫Proibisci l'avvio di applicazioni con estensione doppia/atipica.
Blocca l'avvio di file sospetti con estensione non standard (per esempio, *.jpg.exe).
▫Proibisci l'avvio di shell bash e applicazioni WSL (solo per Windows 10 e superiori).
Blocca l'avvio di shell di comandi Bash e applicazioni WSL.
2.Caricamento ed esecuzione di moduli. I criteri possono funzionare in due modalità:
▫Caricamento di tutti i moduli.
Questa modalità consuma molte risorse, pertanto, si consiglia di utilizzarla solo quando è necessario un controllo aumentato.
▫Controlla il caricamento e l'esecuzione di moduli in applicazioni host.
Questa modalità consuma meno risorse. Controlla il funzionamento di moduli solo in processi utilizzati per la compromissione del sistema o per l'infiltrazione di software malevoli sotto le sembianze di un file di sistema o affidabile. Se non è necessario un controllo aumentato, utilizzare questa modalità.
Le raccomandazioni sull'uso dei criteri Caricamento ed esecuzione di moduli sono analoghe alle raccomandazioni sull'uso dei criteri Avvio di applicazioni.
3.Avvio di interpreti di script:
▫Proibisci l'avvio di script CMD/BAT.
Blocca l'avvio di file con estensioni cmd e bat.
▫Proibisci l'avvio di script HTA.
Blocca l'avvio di script HTA. Tali script possono elaborare script malevoli e scaricare sul computer file eseguibili che possono arrecare danno al sistema.
▫Proibisci l'avvio di VBScript/JavaScript.
Blocca l'avvio di applicazioni scritte nei linguaggi di scripting VBScript e JavaScript. Tali applicazioni possono elaborare script malevoli e scaricare sul computer file eseguibili che possono arrecare danno al sistema.
▫Proibisci l'avvio di script PowerShell.
Blocca l'avvio di script scritti nel linguaggio di scripting PowerShell. Tali script possono elaborare script malevoli e scaricare sul computer file eseguibili che possono arrecare danno al sistema.
▫Proibisci l'avvio di script REG.
Blocca l'avvio di script di registro (file con estensione reg). Tali file possono essere utilizzati per l'aggiunta o modifica dei valori nel registro.
▫Proibisci l'avvio di script da flussi alternativi NTFS (ADS).
Blocca l'avvio di script da flussi alternativi NTFS (ADS). Tali script sono spesso malevoli, pertanto, questo criterio è consigliato per l'uso.
▫Proibisci l'avvio di script dalla rete e risorse condivise.
L'avvio di script dalla rete e da risorse condivise è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.
▫Proibisci l'avvio di script da supporti rimovibili.
L'avvio di script da supporti rimovibili è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.
▫Proibisci l'avvio di script da directory temporanee.
L'avvio di script da directory temporanee è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.
4.Caricamento dei driver.
▫Proibisci il caricamento di driver non firmati.
Blocca il caricamento di rootkit e bootkit. Blocca l'utilizzo di vulnerabilità nel software e sistema operativo.
È consigliato utilizzare questa modalità sulle versioni del sistema operativo a 64 bit. L'utilizzo di questa modalità è ammissibile anche sulle versioni del sistema operativo a 32 bit se non sono presenti driver non firmati sul sistema.
▫Proibisci il caricamento di versioni di driver vulnerabili dei software popolari.
Blocca il caricamento di versioni non sicure di driver dei software popolari.
|
Il divieto di caricare versioni vulnerabili di driver dei software popolari non può essere sovrapposto da eccezioni. |
Le altre raccomandazioni sull'uso dei criteri Caricamento dei driver sono analoghe alle raccomandazioni sull'uso dei criteri Avvio di applicazioni.
5.Installazione di pacchetti MSI.
Le raccomandazioni sull'uso dei criteri Installazione di pacchetti MSI sono analoghe alle raccomandazioni sull'uso dei criteri Avvio di applicazioni.
6.Integrità di file eseguibili.
▫Proibisci la creazione di nuovi file eseguibili.
Blocca i tentativi di creazione di nuovi file eseguibili.
▫Proibisci la modifica di file eseguibili.
Blocca i tentativi di modifica di file eseguibili.
I criteri Integrità di file eseguibili sono utilizzati solo su sistemi che funzionano in modalità ambiente affidabile. In tali sistemi tutti i processi vengono controllati dall'amministratore (per esempio, sportelli automatici e altri sistemi).
Nel caso di utilizzo dei criteri Integrità di file eseguibili in altri sistemi il comportamento è imprevedibile fino al guasto alla postazione.
|
I criteri Integrità di file eseguibili non possono essere sovrapposti da regole. |