Attivare la protezione dagli Exploit in Windows Defender (Windows 10 e 11)

Come configurare la protezione anti exploit in Windows Defender, come si usa e cosa significa, in Windows 10 e Windows 11

La protezione dagli exploit è una nuova, importante, funzionalità di protezione per Windows 10, che integrata nell'antivirus Windows Defender e migliorata in Windows 11.
Exploit Guard include un insieme di funzionalità che comprendono la protezione degli exploit, la riduzione della superficie di attacco (attack surface), la protezione della rete e l' accesso controllato alle cartelle.

Protezione dagli exploit significa protezione contro ogni tipologia di virus che possa sfruttare vulnerabilità, anche sconosciute, presenti in un sistema informatico.
Questo serva a garantire una protezione certa non solo contro i virus conosciuti, ma anche contro i malware ancora da scoprire (chiamati Zero-day), per i quali l'antivirus non è preparato ad agire.

Gli antivirus tradizionali con protezione real time riconoscono malware e virus facendo l'analisi di alcune regole comportamentali e richiedono aggiornamenti frequenti per importare nuovi riferimenti riguardo le ultime infezioni scoperte.
L'antivirus è come un dottore che sa riconoscere e curare le malattie che ha studiato nel suo libro di medicina; se il dottore non aggiorna le sue conoscenza, può non essere in grado di curare le malattie più rare scoperte da poco.
Quindi, anche se gli antivirus vengono aggiornati ogni giorno, può capitare che un nuovo exploit o una vulnerabilità sconosciuta scappi al controllo e provochi problemi al PC.
Un Exploit altro non è che un malware capace di sfruttare le vulnerabilità e le insicurezze dei software (leggi anche "Tipi di malware e differenze tra Trojan, Worms e Virus").
Per fare un esempio, in programmi come Java, Acrobat Reader e Flash vengono trovate spesso questo tipo di vulnerabilità "0-day" rimanendo esposto agli exploit (vedi anche "Disabilitare Java sui browser per evitare problemi di sicurezza")
Tra i programmi più semplici e meno ingombranti che si definiscono "anti-exploit" si può provare Exploit Shield, gratuito.
La versione beta (disponibile attualmente) protegge automaticamente i browser Web Google Chrome, Mozilla Firefox, Opera e Internet Explorer rimanendo in esecuzione sul sistema.

La protezione contro gli exploit di Microsoft è la stessa del programma Microsoft Toolkit EMET, uno strumento di sicurezza ritirato nel 2018.
Per capire bene di cosa stiamo parlando, si può pensare a come i programmi antivirus utilizzino le definizioni dei virus e le euristiche per scovare i programmi pericolosi prima che possano funzionare sul sistema.
Gli strumenti anti-explit funzionano in modo diverso, bloccando i programmi se sono rilevate tecniche di sfruttamento della memoria simili ai virus, per proteggere da molti attacchi zero day, prima che escano le definizioni dei virus.
Tuttavia, programmi come EMET, generalmente utilizzato sulle reti aziendali, potrebbero causare problemi di compatibilità tra applicazioni e richiedono una certa competenza da parte di chi li configura.
La protezione anti-exploit in Windows Defender include molte delle stesse protezioni dell'EMET di Microsoft abilitate per impostazione predefinita per tutti e configurate automaticamente.

LEGGI ANCHE: Guida alle Impostazioni Sicurezza di Windows 10

Per controllare che la protezione contro exploit sia attivata in Windows 10 dopo aver aggiornato a Fall Creators Update bisogna andare nelle Impostazioni.
Questa è l'unica funzionalità di sicurezza di Windows 10 che è indipendente dalla protezione in tempo reale in Windows Defender (l'antivirus interno di Windows 10), che funziona quindi anche se si installa un altro antivirus.
Le opzioni per attivare l'anti exploit in Windows 10 si trovano in Impostazioni > Aggiornamento e sicurezza > Sicurezza di Windows > Apri Sicurezza di windows.
In Windows 11 le stesse opzioni sono in Impostazioni > Privacy e Sicurezza > Sicurezza di Windows
Premere quindi sulla voce Controllo delle app e del browser, scorrere verso il basso fino a che non si trova la scritta protezione dagli exploit e premere sul link "Impostazioni Protezione dagli exploit".

Le varie opzioni, che devono essere quasi tutte attive, sono suddivise in Impostazioni di sistema e Impostazioni programmi.
Le impostazioni di sistema sono:
- Protezione del flusso di controllo (CFG) - Attivo.
- Protezione esecuzione programmi (DEP) - Attiva.
- Forza l'assegnazione casuale per le immagini (ASLR obbligatoria) - Disattivata per impostazione predefinita.
- utilizza le allocazioni di memoria casuali (Bottom-up ASLR) - Attiva.
- Convalida catene di eccezione (SEHOP) - Attiva.
- Convalida l'integrità dell'heap - Attiva.
Il significato delle varie opzioni è molto tecnico quindi conviene lasciare le opzioni così come sono senza modificarle, a meno di specifiche esigenze.

Le impostazioni programmi, invece, servono a personalizzare la protezione per singoli programmi e applicazioni, in modo analogo su come faceva Microsoft EMET per chi l'ha usato in passato.
In questo modo, se un programma avesse bug di sicurezza, il computer non potrebbe comunque essere attaccato a causa di esso.
Per molti dei programmi elencati di default, si troverà una sola impostazione attivata (un solo override di sistema), che è "Forza l'assegnazione casuale per le immagini (ASLR obbligatoria)".
A questa lista si possono aggiungere altri programmi installati sul PC.
Mentre attivando tutte le protezioni disponibili per i programmi si rischia di non farli funzionare, si può comunque utilizzare l'opzione "simula l'esecuzione (SimExec)" per vedere che effetti avrebbe.
Per esempio, attivando tutte le opzioni per iexplore.exe, tentando di aprire Internet Explorer, si avrà un errore.

Da citare, infine, la possibilità di attivare la riduzione superficie di attacco, ossia della parte di sistema che può essere esposta a modifiche non autorizzate.
Questa configurazione si può fare aprendo i criteri di gruppo locali (cercare dal menu Start), andando in Configurazione computer > Modelli amministrativi > Componenti di Windows > Windows Defender Antivirus > Windows Defender Exploit Guard.
In questa sezione è possibile attivare o disattivare funzioni di sicurezza che possiamo trovare anche nelle Impostazioni di Windows 10 (nel Windows defender Security Center), ossia l'accesso alle cartelle controllato (l'anti ransomware) e la protezione dalla rete (Smartscreen).
Inoltre c'è anche una configurazione non presente nelle Impostazioni, riservata ad amministratori di reti aziendali, che permette di ridurre la superficie di attacco.

LEGGI ANCHE: Antivirus per Windows 10: meglio installarne uno o basta Windows Defender?