Che cosa è l'ASR (Attack Surface Reduction) e come applicarlo

  • ASR è un insieme di regole di Microsoft Defender che bloccano i comportamenti ad alto rischio per ridurre la superficie di attacco in Windows.
  • Le regole possono funzionare in modalità di blocco, controllo o avviso e devono sempre essere implementate a partire dal controllo e dalla regolazione delle esclusioni.
  • La sua configurazione è gestita tramite Intune, SCCM, MDM, GPO o PowerShell e la sua efficacia è supportata da altre funzionalità quali WDAC, accesso controllato alle cartelle e protezione di rete.
  • Una strategia completa di riduzione della superficie combina l'ASR con le migliori pratiche di gestione delle risorse, rafforzamento del sistema, controllo degli accessi e sicurezza del cloud.
Lorena Figueredo

17 minuti

Riduzione della superficie di attacco

La superficie di attacco di un'organizzazione è aumentata vertiginosamente negli ultimi anniCloud computing, lavoro da remoto, SaaS, dispositivi mobili, USB, macro, API... Ogni nuovo servizio, porta o applicazione rappresenta un potenziale punto di ingresso per un aggressore. Ecco perché Microsoft ha integrato una serie di tecnologie in Windows 10 e Windows 11 volte a limitare le azioni del software, anche quando sembrano legittime. Per ridurre questi rischi, consulta i suggerimenti per Migliorare la sicurezza in Windows 11.

All’interno di questo “arsenale difensivo” uno dei pilastri è l’Attack Surface Reduction Rules (ASR)Le regole di riduzione della superficie di attacco sono integrate in Microsoft Defender Antivirus e Defender for Endpoint. Non si tratta semplicemente di un antivirus tradizionale, ma di un sistema di policy che blocca i comportamenti pericolosi prima ancora che il malware abbia la possibilità di eseguire il suo payload. Una conoscenza approfondita di cosa sono, come funzionano e come implementarle senza compromettere l'ambiente è fondamentale per qualsiasi amministratore che gestisca Windows in un'azienda, grande o piccola che sia. Inoltre, è consigliabile integrarle con... software di sicurezza essenziale come parte della strategia difensiva.

Cos'è la superficie di attacco e perché è necessario ridurla?

La superficie di attacco è l'insieme di tutti i punti attraverso i quali un aggressore potrebbe interagire con i nostri sistemi per rubare dati, eseguire codice o muoversi lateralmente. Include elementi fisici, digitali e umani.

Sul piano fisicoServer, workstation, dispositivi di rete, laptop, terminali e qualsiasi hardware con accesso alla rete aziendale o a dati sensibili entrano tutti in gioco. Un computer non crittografato e dimenticato o una porta USB non monitorata possono essere un vettore di ingresso più efficace di un exploit remoto.

Nella sezione digitale Stiamo parlando di sistemi operativi, applicazioni aziendali, servizi web, database, endpoint, container, servizi cloud e API. Qualsiasi vulnerabilità non corretta, configurazione errata o interfaccia esposta fa parte di quella superficie di attacco e può essere sfruttata da un aggressore. Ecco perché è fondamentale mantenere... aggiornamenti di sicurezza un giorno

Il fattore umano Completano il quadro: account utente, permessi, errori di configurazione e, naturalmente, ingegneria sociale. Le campagne di phishing, pretexting e baiting sfruttano lacune nella consapevolezza della sicurezza, non difetti tecnici. Ecco perché la formazione e una solida cultura della sicurezza sono importanti tanto quanto le tecnologie stesse e dovrebbero essere integrate da soluzioni di identità come Windows Hello for Business.

Ridurre la superficie di attacco significa tagliare e rafforzare tutti i punti di esposizione.Disinstallare il software inutilizzato, chiudere le porte, limitare i permessi, segmentare le reti, rivedere le API, proteggere il cloud e implementare controlli tecnici per prevenire l'abuso di funzionalità legittime sono tutti aspetti di questo processo. È proprio qui che entra in gioco l'ASR, ed è consigliabile applicare policy locali. secpol.msc.

Che cos'è ASR (Attack Surface Reduction) in Microsoft Defender?

Regole ASR in Microsoft Defender

ASR (Attack Surface Reduction) è un insieme di regole di Microsoft Defender che limitano i comportamenti software considerati ad alto rischio.Anche quando provengono da applicazioni "affidabili" come Office, browser o client di posta elettronica. L'attenzione non è tanto sulle firme del malware, quanto sulla prevenzione dell'abuso di funzioni legittime per sferrare attacchi.

Le regole ASR prendono di mira i tipici modelli di comportamento del malware, come:

  • Avvio di eseguibili o script che scaricano o eseguono altri filespesso tramite e-mail, web o USB.
  • Esecuzione di script offuscati o sospetti (PowerShell, JavaScript, VBScript), comuni negli attacchi fileless.
  • Azioni che le app non eseguono durante il normale utilizzo, ad esempio Office che crea processi figlio, ruba credenziali o tocca aree sensibili del sistema.

È importante capire che alcuni di questi comportamenti si verificano anche nei software legittimi.Ciò è particolarmente vero per le applicazioni line-of-business mal progettate o obsolete. Ecco perché ASR offre diverse modalità (blocco, auditing, avviso) e supporta esclusioni specifiche per file, cartelle o persino regole.

ASR fa parte di Microsoft Defender Antivirus (motore integrato in Windows 10/11) È gestito in modo avanzato tramite Defender for Endpoint e l'ecosistema Microsoft 365 (Intune, Configuration Manager, MDM, GPO). Non richiede necessariamente una licenza E5 per funzionare, ma è necessaria se si desidera un livello completo di gestione avanzata, reporting e threat hunting.

Il ruolo dell'ASR in un modello Zero Trust

L’approccio Zero Trust parte da una premessa chiara: “dai per scontato che tu sia già impegnato”Ciò richiede di limitare l'impatto di qualsiasi incidente implementando livelli di controllo a livello di rete, identità ed endpoint. Le regole ASR si inseriscono nel livello endpoint come motore di controllo preventivo.

Invece di aspettare che un binario dannoso venga eseguito e rilevatoASR blocca in anticipo i vettori più comuni utilizzati dagli aggressori: macro di Office che avviano PowerShell, eseguibili sconosciuti scaricati da e-mail, script offuscati, driver vulnerabili, processi avviati da USB, ecc.

In questo modo, ASR applica il principio del privilegio minimo a ciò che le applicazioni possono fare.non solo a ciò che gli utenti possono fare. Word continuerà a essere Word, ma non sarà più in grado di creare processi figlio arbitrari, chiamare determinate API Win32 da macro o eseguire contenuti scaricati senza controllo.

Combinato con segmentazione di rete, MFA, controllo delle applicazioni, protezione web e best practice di patchingASR aiuta a "restringere" notevolmente la superficie di attacco effettiva sulle workstation e sui server Windows, che rimangono l'anello debole in molti incidenti.

Tipi di superfici di attacco e loro relazione con ASR

Le superfici di attacco sono solitamente suddivise in tre categorie principali: ingegneria digitale, fisica e sociale.Ognuno di essi ha misure specifiche, ma tutti si toccano.

Superficie di attacco digitaleCiò include siti web, server, database, endpoint, SaaS, servizi cloud, API e altro ancora. Vulnerabilità software, configurazioni non sicure e servizi esposti sono tutti fattori che ne influenzano il funzionamento. Le organizzazioni in genere si affidano a strumenti di gestione della superficie di attacco esterna (EASM) per monitorare costantemente queste risorse.

Superficie di attacco fisicoHardware di rete, server locali, apparecchiature utente, dispositivi di archiviazione, ecc. Tutto ciò viene ridotto tramite controlli fisici (accesso al data center, telecamere, serrature, schermatura del rack) e con policy chiare sui dispositivi rimovibili.

Superficie dell'ingegneria socialeGli attacchi di phishing, vishing e smishing sfruttano le debolezze umane. Formazione dei dipendenti, simulazioni di phishing e policy chiare sulla gestione delle credenziali e degli accessi sono fondamentali in questo caso.

L'ASR attacca principalmente la superficie digitale all'endpointma con effetti sulla fisica (ad esempio, bloccando gli eseguibili da USB) e sul vettore umano (rendendo più difficile che un clic su un'e-mail dannosa si concluda con l'esecuzione di un malware).

Le regole ASR più rilevanti e cosa bloccano

Microsoft gestisce un catalogo piuttosto ampio di regole ASR, ampliato con ogni versione di Windows 10/11Alcune delle più critiche si concentrano sui vettori che sono oggi maggiormente sfruttati:

Regole incentrate su Office e applicazioni di produttività:

  • Impedisci alle applicazioni di Office di creare processi figlio (GUID D4F940AB-401B-4EFC-AADC-AD5F3C50688A): impedisce a Word, Excel, ecc. di avviare processi come cmd.exe o powershell.exe, molto comuni nelle campagne con macro.
  • Impedisci alle applicazioni di comunicazione di Office di creare processi figlioulteriore rafforzamento di Outlook e programmi simili.
  • Impedisci ad Adobe Reader di generare processi in background, per chiudere un'altra via comune di sfruttamento.

Regole specifiche per le macro:

  • Blocca le chiamate API Win32 dalle macro di Office (GUID 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B): blocca uno dei modelli di malware macro più comuni, che necessita di richiamare funzioni del kernel o altre librerie per completare l'attacco.
  • Bloccare i contenuti eseguibili da e-mail o webmail: Stronca sul nascere molti attacchi che iniziano con un allegato o un link dannoso.

Regole contro gli script dannosi:

  • Blocca l'esecuzione di script offuscati, sia in PowerShell che in linguaggi come JavaScript o VBScript.
  • Impedisci agli script JavaScript/VBScript di avviare contenuti scaricati, impedendo catene di infezioni che passano inosservate all'utente.

Regole per il movimento laterale, driver e USB:

  • Creazione di processi a blocchi da PsExec e WMI, due tecniche classiche di movimento laterale nelle reti Windows.
  • Blocca il furto di credenziali LSASSstrumenti di mitigazione come Mimikatz.
  • Bloccare l'abuso di certificati e firme dei conducentiimpedendo agli aggressori di fare affidamento su driver legittimi ma difettosi.
  • Blocca i processi non firmati o non attendibili avviati da USB, molto utile negli ambienti in cui gli utenti utilizzano frequentemente unità rimovibili.
  • Blocca la persistenza utilizzando le sottoscrizioni agli eventi WMI, un trucco ricorrente per restare nel sistema senza attirare troppa attenzione.

È importante tenere presente che non tutte le regole sono ugualmente efficaci se applicate singolarmente.Ad esempio, la regola per "impedire a Office di creare processi figlio" era limitata ai processi avviati tramite WMI e Microsoft ha dovuto incorporare ulteriori regole specifiche per colmare questa lacuna. Altre, come quella che blocca le API Win32 nelle macro, sono oggi molto più robuste e difficili da aggirare.

Modalità operative delle regole ASR

Che cosa è l'ASR (Attack Surface Reduction) e come applicarlo

Ogni regola ASR può essere in uno dei quattro stati che ne determinano il comportamento:

  • Non configurato / DisabilitatoLa regola non agisce e non genera dati.
  • bloccare: regola attiva, impedisce l'azione e registra l'evento.
  • revisioneNon blocca, ma registra ciò che ci sarebbe bloccato, ideale per i test.
  • Attenzione: blocca ma consente all'utente di aggirare il blocco per 24 ore, dopodiché la regola viene riapplicata.

La modalità di audit è la pietra angolare di un'implementazione controllataEseguendo prima tutte le regole in questa modalità è possibile vedere quali applicazioni aziendali saranno interessate, quanti eventi vengono generati e dove è necessario introdurre esclusioni per evitare di interrompere i processi critici.

La modalità di avviso è concepita come passaggio intermedio. Per le organizzazioni che desiderano concedere agli utenti finali un margine di manovra in casi eccezionali. Tuttavia, non è supportato per tutte le regole o in tutti gli scenari: ad esempio, ci sono tre regole che non supportano gli avvisi se configurate da Intune (sebbene lo facciano tramite GPO) e, nelle versioni precedenti di Windows, l'impostazione "Avvisa" si traduce in "Blocca".

Quando viene attivata una regola ASR, l'utente visualizza una finestra di dialogo che indica che il contenuto è stato bloccato.E se la modalità lo consente, è possibile sbloccarlo temporaneamente. Questa esperienza è personalizzabile ed è accompagnata da eventi nel registro di Windows e, se si utilizza Defender for Endpoint, da avvisi nel portale.

Prerequisiti e sistemi operativi compatibili

Per sfruttare appieno l'ASR e le altre capacità di riduzione della superficie di attaccoCi sono una serie di requisiti che dovrebbero essere chiari:

Requisiti di Microsoft Defender Antivirus:

  • Defender dovrebbe essere il tuo antivirus principale., non può essere in modalità passiva o disabilitata.
  • La protezione in tempo reale deve essere attiva.
  • La protezione fornita dal cloud deve essere abilitata e con la connettività internet, poiché da essa dipendono alcune regole.
  • Versioni minime Consigliato per la modalità di avviso e altre funzioni avanzate: piattaforma 4.18.2008.9 e motore 1.1.17400.5 o superiore.

A livello di sistema operativoLe regole ASR sono supportate in diverse edizioni di Windows 10 e Windows 11, sia in ambienti professionali che aziendali. Non è strettamente necessaria una licenza Windows E5 per il funzionamento delle regole, ma è necessario disporre di:

Funzionalità avanzate di gestione e visibilità:

  • Monitoraggio centralizzato e analisi dettagliata da Defender for Endpoint.
  • Report e configurazione avanzata dal portale Microsoft Defender XDR.
  • Integrazione profonda con scenari di ricerca e caccia avanzati.

Con licenze Professional o E3 È ancora possibile utilizzare le regole ASR, ma la visibilità è limitata ai registri locali (Event Viewer, registri Defender) o alle soluzioni configurate dal cliente (ad esempio, l'inoltro di eventi al proprio SIEM).

Come valutare le regole ASR prima di implementarle

Attivare tutte le regole ASR in modalità "Blocco" contemporaneamente è la ricetta perfetta per bloccare le applicazioni e far infuriare gli utenti.Microsoft consiglia e documenta un approccio graduale basato sulla valutazione preventiva.

Il punto di partenza ideale è utilizzare la gestione delle vulnerabilità di Microsoft Defender.dove ogni regola ASR appare come una raccomandazione di sicurezza. Dal pannello dei dettagli della raccomandazione, è possibile visualizzare l'impatto stimato su utenti e dispositivi: la percentuale di endpoint in cui la regola potrebbe essere abilitata in modalità di blocco senza compromettere significativamente la produttività.

Il passo successivo è eseguire le regole in modalità di controlloIn questa modalità, gli eventi vengono registrati per tutto ciò che sarebbe stato bloccato, ma senza interferire con le operazioni. Questo consente:

  • Identificare le applicazioni aziendali che si comportano in modo "strano" Ma sono necessari.
  • Misura quanti eventi genera ogni regola e decidere se è gestibile o se c'è troppo rumore.
  • Progettare e testare la strategia di esclusione per file, cartella o processo.

Molte app LOB sono scritte prestando poca attenzione alla sicurezza. Possono inoltre utilizzare pratiche molto simili al malware: script offuscati, eseguibili ausiliari, driver insoliti, ecc. La modalità di controllo consente di individuare questi casi senza interrompere i processi chiave.

Esclusioni e combinazione di direttive in ASR

Le esclusioni sono essenziali per evitare che l'ASR diventi un grattacapo.La maggior parte delle regole consente di definire percorsi o file che non verranno valutati, anche se normalmente il comportamento verrebbe bloccato.

L'aggiunta di esclusioni richiede molta attenzione.:

  • Ridurli al minimo indispensabile.sii sempre il più specifico possibile (un file eseguibile specifico, non un'intera cartella di grandi dimensioni).
  • Documentare chiaramente il motivo di ogni esclusione e rivederli periodicamente.
  • Evitare di escludere le posizioni tipiche del malware come profili utente, file temporanei, download o percorsi di posta elettronica.

Negli ambienti con più policy applicate (MDM, Intune, GPO, ecc.) è presente una logica di unione.Per i dispositivi gestiti, è possibile creare un "superset" di regole da più profili: le configurazioni non in conflitto vengono aggiunte insieme, mentre quelle in conflitto tra loro vengono eliminate dalla policy combinata.

Se ci sono direttive in conflitto tra MDM e Intune rispetto a GPODi solito, i Criteri di gruppo hanno la precedenza e vengono imposti. È importante rivedere la gerarchia e decidere chiaramente quale sistema di gestione debba "possedere" la configurazione di Defender nell'organizzazione.

Metodi di configurazione e distribuzione ASR

Microsoft offre diversi metodi per configurare e distribuire le regole ASR.Dalla riga di comando ai portali cloud avanzati, è prassi comune nel mondo degli affari combinare più di uno strumento.

Gestione aziendale consigliata (Intune / Configuration Manager):

  • Intune – Criteri di sicurezza degli endpointQuesto è il metodo preferito negli ambienti cloud. Consente di creare profili specifici di "Regole di riduzione della superficie di attacco", impostare lo stato di ciascuna regola, aggiungere esclusioni e distribuire policy a gruppi di utenti o dispositivi.
  • Intune – Profili di configurazione del dispositivo (Endpoint Protection): alternativa per gestire l'ASR all'interno di una politica di protezione più ampia.
  • Intune – Profili OMA-URI personalizzati: per scenari avanzati in cui è necessario utilizzare direttamente il CSP di Defender, specificando i GUID delle regole e i valori di stato (0 disabilita, 1 blocca, 2 verifica, 6 avvisa).
  • Microsoft Configuration Manager (SCCM): consente di creare criteri di riduzione della superficie di attacco di Windows Defender Exploit Guard, scegliere le regole da bloccare o controllare e distribuirle a raccolte di dispositivi.

Altre opzioni di configurazione:

  • MDM generico utilizzando il CSP ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules y AttackSurfaceReductionOnlyExclusions Per le esclusioni, i GUID delle regole vengono codificati insieme al valore dello stato.
  • Criteri di gruppo (GPO)Questa operazione può essere eseguita tramite Modelli amministrativi > Componenti di Windows > Microsoft Defender Antivirus > Protezione dalle vulnerabilità > Riduzione della superficie di attacco. Consente di configurare lo stato di ciascuna regola e un criterio specifico per le esclusioni.
  • PowerShell: con cmdlet come Set-MpPreference y Add-MpPreference È possibile abilitare, controllare, avvisare o disabilitare le regole, nonché gestire le esclusioni. Questa funzionalità è utile per script, automazioni una tantum o ambienti di piccole dimensioni.

Nelle piccole aziende senza Intune, gli oggetti Criteri di gruppo e PowerShell rimangono l'approccio principale.Sebbene non sia presente alcun "pulsante magico" nel portale Defender for Endpoint per inviare le regole ASR, è possibile utilizzare GPO centrali in Active Directory o script di accesso con PowerShell per mantenere una configurazione coerente.

Altre funzionalità di riduzione della superficie di attacco in Defender

L'ASR non è l'unico: fa parte di un insieme più ampio di controlli di riduzione della superficie di attacco integrato in Microsoft Defender for Endpoint.

Principali capacità complementari:

  • Controllo delle applicazioni (WDAC)Costringe le applicazioni a ottenere l'affidabilità prima di poter essere eseguite. È il livello di complessità successivo all'ASR, poiché definisce quali file binari possono essere eseguiti, non solo cosa possono fare.
  • Accesso controllato alle cartelle: protegge le directory chiave (documenti, desktop, ecc.) da modifiche non autorizzate, particolarmente utile contro il ransomware.
  • Controllo del dispositivo: gestisce l'uso di USB e altri supporti rimovibili per impedire la perdita di dati e il malware da unità esterne.
  • Protezione dagli exploit: applica mitigazioni a livello di sistema e di processo contro tecniche di sfruttamento note, indipendentemente dall'antivirus primario.
  • Isolamento basato su hardware: protegge l'integrità del sistema tramite avvio sicuro, VBS, HVCI e contenitori del browser (ad esempio, Edge isolation).
  • Protezione della rete e protezione webEstendono i controlli al traffico in uscita, ai domini dannosi e alle categorie di siti web, integrandosi con Defender SmartScreen e le policy web.

L'implementazione congiunta di queste funzionalità consente una drastica riduzione della superficie di attacco.Ma sempre con lo stesso approccio: iniziare in modalità audit, apportare modifiche, introdurre esclusioni ben ponderate e solo dopo passare al blocco.

Monitoraggio degli eventi ASR e ricerca avanzata

Monitorare l'operato delle regole ASR è importante tanto quanto impostarle.Gli eventi associati vengono registrati a vari livelli.

Sull'endpoint stessoGli eventi principali si svolgono in:

  • Microsoft-Windows-Windows Defender/Operativo, con ID quali 1121 (regola in modalità di blocco), 1122 (regola in modalità di controllo) e 5007 (modifiche alla configurazione).
  • Altri record specifici per la protezione della rete, l'accesso controllato alle cartelle, la protezione dalle vulnerabilità, ecc., ciascuno con il proprio set di ID pertinenti.

Per facilitare la revisione, Microsoft fornisce visualizzazioni personalizzate in formato XML. Questi filtri mostrano solo gli eventi rilevanti per ASR, protezione di rete, accesso controllato alle cartelle o mitigazioni di sicurezza. Possono essere importati nel Visualizzatore eventi oppure è possibile copiare direttamente la query XML.

Negli ambienti con Defender for Endpoint, Advanced Hunting è un ottimo alleatoCon query su tabelle come DeviceEvents Ad esempio, tutti i trigger delle regole ASR possono essere individuati utilizzando query come:

Esempio di query: DeviceEvents | where ActionType startswith "Asr"

Questa ricerca è ottimizzata per ridurre il rumore mostrando solo i processi univoci all'ora.Se lo stesso evento si verifica su più dispositivi tra le 14:15 e le 14:45, verrà visualizzata una sola voce con la marca temporale della prima istanza, semplificando l'analisi senza dover ricorrere a migliaia di righe ripetute.

Buone pratiche e sfide nella riduzione della superficie di attacco

Ridurre la superficie di attacco è una maratona, non uno sprint, e si scontra direttamente con alcune pratiche aziendali radicate.Esistono sfide evidenti e buone pratiche che aiutano a realizzarlo.

Sfide principali:

  • Dipendenze complesseApplicazioni e sistemi legacy che si basano su componenti obsoleti o non sicuri, difficili da toccare senza danneggiare qualcosa.
  • Integrazione dei sistemi legacy che non supportano nuove misure di sicurezza o richiedono configurazioni sconsiderate.
  • Velocità del cambiamento tecnologicoNuove piattaforme e servizi portano con sé nuovi vettori, costringendo a una revisione costante della strategia.
  • Limitazioni delle risorse: mancanza di personale, strumenti o budget per coprire tutti i fronti.
  • Impatto sui processi aziendaliSpesso più sicurezza significa più attrito, e bisogna trovare il giusto equilibrio.

Buone pratiche trasversali:

  • Gestione rigorosa delle risorse, con inventari aggiornati di hardware, software e dati, etichettati in base alla criticità e al proprietario.
  • Sicurezza di rete basata sulla segmentazione e sulla visibilitàcon regole chiare su cosa si può discutere e con chi, e monitoraggio del traffico.
  • Rafforzamento dei sistemiDisinstallare il software non necessario, disattivare le funzionalità e gli account predefiniti, applicare tempestivamente le patch e rivedere regolarmente le impostazioni di sicurezza. rafforzare la telemetria del sistema.
  • Controllo rigoroso degli accessiSeguendo il principio del privilegio minimo, con MFA, revisioni periodiche dei permessi e revoca agile quando qualcuno cambia ruolo o se ne va.
  • Gestione della configurazione supportato da strumenti che rilevano le modifiche non autorizzate, le avvisano e, se possibile, le annullano automaticamente.

Negli ambienti cloud, è necessario prestare particolare attenzione anche alle configurazioni di archiviazione, alle identità, alle API e alla crittografia.perché un errore di autorizzazione o un bucket configurato in modo errato possono esporre dati a Internet senza che nessuno se ne accorga, finché non è troppo tardi.

Nelle operazioni quotidiane, le regole ASR, combinate con le altre capacità di Defender, contribuiscono a ridurre drasticamente le probabilità di successo di un attacco.Anche se un utente clicca dove non dovrebbe o se un sistema non è completamente patchato, configurato correttamente e implementato in modalità blocco dopo un'accurata fase di audit e ottimizzazione, diventa un livello altamente efficace e relativamente trasparente per l'utente finale.

Sebbene l'intera rete di regole, GUID, modalità e strumenti possa sembrare esoterica a prima vistaCon una strategia strutturata (valutare, verificare, eliminare meticolosamente le vulnerabilità e solo successivamente bloccarle), il tutto è perfettamente gestibile anche per team di piccole dimensioni. E il vantaggio è evidente: meno superficie da monitorare, meno punti da proteggere e meno possibilità che un guasto isolato si trasformi in una violazione grave.

Gestione avanzata dei certificati e delle firme dei driver in Windows
Articolo correlato:
Gestione avanzata dei certificati e delle firme dei driver in Windows