US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

  • Contact Us
Italian
US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese
  • Home
  • Knowledgebase AutoElevate
  • Gestione delle regole

Gestione delle regole di blocco

Scopri come gestire e utilizzare Blocker in modo efficace, garantendo un funzionamento fluido e una maggiore sicurezza.

Written by Daniel Rivera

Updated at June 10th, 2025

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

  • Knowledgebase AutoElevate
    Nuovo su AutoElevate ? INIZIA QUI Generale e risoluzione dei problemi Gestione delle regole Integrazioni Annunci Domande frequenti Video tutorial
  • Base di conoscenza Password Boss
    Utilizzo Password Boss Amministrazione Aziendale Documenti del partner Password Boss
  • Kit di strumenti di marketing
    Kit di strumenti per il marketing e la formazione MSP
  • Changelog per Autoelevate e Password Boss
  • Stato attuale
+ More

La funzionalità Blocker di AutoElevate offre la possibilità di bloccare oltre 200 applicazioni native di Windows, file binari e file .dll, tipicamente utilizzati come vettori di attacco Living Off the Land (LOTL). I termini malware fileless, malware-free o Living Off The Land si riferiscono a tecniche di attacco informatico. dove il criminale informatico utilizza strumenti nativi e legittimi all'interno del sistema della vittima per sostenere e portare avanti un attacco .

In che modo AutoElevate sceglie quali processi includere nella nostra lista di blocco?

Facciamo affidamento principalmente su fonti come Microsoft , progetti della comunità (come il progetto LOLBAS ) e le nostre ricerche per mantenere il prodotto aggiornato.

Blocker si concentra principalmente sugli attacchi "senza malware", noti anche come "Living off the Land". Questi tendono a sfruttare applicazioni e strumenti noti presenti in Windows da molto tempo, alcuni dei quali sono stati deprecati e rimangono presenti solo per compatibilità con le versioni precedenti.

Questa funzionalità è progettata e supportata per le workstation Windows a 64 bit, incluse le versioni 10 e 11. Per rendere disponibile questa funzionalità, gli agenti devono disporre della versione 2.8 o successiva.

Avvio rapido

  • Dalla schermata Computer seleziona i computer che desideri abilitare cliccando sul quadrato accanto al nome del computer elencato.
  • Fare clic sul menu Azioni nella parte superiore dello schermo, quindi su Imposta su Audit nella sezione Modalità blocco .
  • Una volta abilitata, consigliamo di mantenerla in modalità Audit per circa 1 mese o più per consentire all'agente di raccogliere e analizzare i dati e fornire regole consigliate.
  • Le regole di blocco consigliate in tempo reale sono disponibili nella schermata "Raccomandazioni sui blocchi" del portale. È possibile selezionare "VISUALIZZA APPLICAZIONI" per maggiori informazioni e "AGGIUNGI REGOLE DI BLOCCO" per aggiungere automaticamente le regole consigliate.
  • Una volta trascorso un tempo sufficiente e dopo aver creato le regole di blocco desiderate, tornare alla schermata Computer , selezionare il/i computer, fare clic sul menu Azioni e quindi su Imposta su attivo nella sezione Modalità blocco .

Abilita con distribuzione script

Il blocco può essere abilitato in una modalità specifica durante l'implementazione dello script modificando l'argomento seguente. Si consiglia di impostare la modalità Audit per la raccolta e l'analisi immediata dei dati.

BLOCKER_MODE="audit" (facoltativo) – Questo parametro può essere impostato su live, audit o disabled in modo che il programma di installazione dell'agente possa ignorare la modalità corrente o essere impostato per l'installazione automatica nella modalità desiderata. La modalità disabled è quella predefinita se questo parametro non viene specificato. Se lo script esegue un aggiornamento su un agente già installato, la mancata specificazione di questo parametro manterrà la modalità agente attualmente impostata.

Queste opzioni di modalità distinguono tra maiuscole e minuscole e devono essere scritte in minuscolo; in caso contrario, questa parte del comando fallirà e l'agente passerà alla modalità disabilitata per impostazione predefinita.

Distribuzione RMM generica tramite comandi PowerShell

Modalità di blocco definite

  • Disabilitato - Il driver del filtro dell'agente non è installato o è disinstallato se precedentemente installato. Di conseguenza, in questo stato, nessun processo Windows viene monitorato e nessuna regola di blocco esistente viene applicata. Poiché il blocco è disabilitato, l'esperienza utente non subisce modifiche.
  • Audit - Il driver del filtro dell'agente è installato. I processi Windows per i file binari utilizzati negli attacchi LOTL vengono monitorati e il loro utilizzo viene analizzato per generare raccomandazioni di blocco. L'agente AE non applica alcuna regola di blocco definita e, pertanto, non vi è alcuna modifica nell'esperienza utente.
  • Live - Il driver del filtro dell'agente è installato. I processi Windows per i file binari utilizzati negli attacchi LOTL vengono monitorati e il loro utilizzo viene analizzato per generare raccomandazioni di blocco. L'agente AE blocca o consente i processi Windows in base a qualsiasi regola di blocco definita.

Creazione manuale di regole di blocco

  • Selezionare l'icona "+" nella schermata Regole di blocco nella parte superiore della pagina.
  • Seleziona la casella di controllo accanto al Nome del processo per cui desideri aggiungere una regola. Per ulteriori informazioni, puoi cliccare sul link sorgente accanto al Nome del processo, che contiene il suggerimento sul perché dovresti bloccare quel processo.
  • Dal menu Azioni in alto, seleziona Aggiungi regola , scegli Livello , Posizione e Computer in base alle tue esigenze, quindi OK per confermare.
Il tuo browser non supporta i video HTML5.

Creazione di regole di autorizzazione

  • Dalla schermata Eventi bloccanti , seleziona l'evento che vuoi convertire in una regola consentita spuntando la casella accanto al suo nome.
  • Fare clic sul menu Azioni nella parte superiore dello schermo e selezionare Converti in regola .

Il tuo browser non supporta i video HTML5.

Utilizzo di combinazioni di criteri di identificazione del processo e del processo padre

È possibile impostare regole di autorizzazione in modo che corrispondano a tutte le combinazioni desiderate di criteri di identificazione del file e/o del certificato dell'editore, selezionando le caselle di controllo accanto agli elementi dell'evento a cui si desidera che la regola faccia riferimento. Se viene rilevata una corrispondenza al verificarsi di un evento, l'agente AutoElevate esegue l'azione definita di autorizzazione . Affinché la regola venga applicata a un evento, deve corrispondere a TUTTI i criteri di identificazione selezionati .

Criteri di identificazione del processo

I criteri di identificazione del processo possono essere selezionati in qualsiasi combinazione di 4 opzioni: Nome file, Percorso file, Nome file padre, Hash MD5/SHA256 . I valori predefiniti di questi criteri sono impostati su quanto è stato letto dal file effettivo del computer locale in cui si è verificato l'evento originale. I caratteri jolly possono specificare elementi dinamici (* ? [az]).

  • Nome file: il nome del file estratto dal percorso.
  • Percorso file: il percorso completo del file sul computer locale, incluso il nome. L'agente espanderà tutte le variabili d'ambiente di Windows durante l'elaborazione del percorso file. Clicca QUI per ulteriori informazioni sulle variabili d'ambiente di Windows.
    • Attualmente, l'agente non può elaborare variabili di ambiente che includono informazioni utente locali (ad esempio, %LOCALAPPDATA%). Questo problema verrà risolto in un futuro aggiornamento.
  • Nome file padre: il nome del file padre estratto dal percorso.
  • Hash MD5/SHA256: hash MD5/SHA256 del file padre.

Criteri di identificazione dell'editore

I criteri di identificazione dell'editore possono essere impostati su 1 delle 2 opzioni: Elementi oggetto o Hash certificato .

  • Elementi del soggetto: si tratta delle diverse parti del nome distinto del soggetto presenti nel certificato dell'editore. È possibile selezionare qualsiasi combinazione di elementi. Tuttavia, è importante notare che ogni editore di software può utilizzare più certificati. Un numero inferiore di elementi del soggetto consentirà di individuare una gamma più ampia di software che corrispondono ai criteri di identificazione selezionati.
  • Hash del certificato: si tratta dell'impronta digitale del certificato utilizzato per firmare il file. È molto specifico solo per quel certificato. In genere, i certificati degli editori scadono dopo uno o due anni. Ciò significa che gli editori devono ottenere nuovi certificati con nuove impronte digitali frequentemente. Definire l'hash del certificato potrebbe comportare la creazione di nuove regole per tenere conto di questi nuovi certificati al momento dell'emissione.

Dove troviamo le informazioni identificative dell'editore?

Verrà visualizzata una sezione espandibile contenente informazioni sul certificato dell'editore, insieme alle relative opzioni. Questi dati vengono generati dal file esaminato sul computer locale da cui ha avuto origine l'evento.

Il fatto che il file sia contrassegnato come Verificato o meno dipende dal fatto che la catena di certificati sul computer locale sia stata verificata. I certificati verificati si riferiscono alla posizione del certificato e/o del suo emittente nell'autorità di certificazione (CA) locale sul computer locale e al fatto che l'ora di firma sia compresa tra i timestamp "Valido da" e "Valido a".

Le regole definite vengono crittografate e memorizzate in un'area di registro protetta a ogni check-in e continueranno a funzionare con o senza connettività a Internet e/o ai nostri servizi.

Nota

  • Una regola impostata al livello più basso, ovvero Computer, avrà la precedenza su tutto il resto, dove esiste una gerarchia.
  • Un'approvazione di elevazione consentirà un'eccezione a una regola bloccata tramite il file padre. L'esecuzione diretta di un processo bloccato continuerà a essere bloccata anche con un'approvazione di elevazione.
  • Il blocco è temporaneamente disattivato quando la modalità Tecnico è in uso.
  • Le regole possono essere modificate tramite l'icona della matita o eliminate tramite l'icona del cestino .
  • Le regole possono anche essere spostate o copiate su un altro livello, nonché eliminate dal menu Azioni .
  • La schermata Eventi bloccati registrerà solo gli eventi attivati da una regola. Tutti gli eventi bloccati verranno registrati, mentre verrà registrato un solo evento consentito per regola al giorno. Per visualizzare tutti gli eventi sul computer locale, è necessario abilitare la registrazione degli eventi .

Nota di sicurezza

La verifica del certificato dell'editore è stata integrata nell'agente v2.4+ per garantire la sicurezza e la protezione della creazione di regole basate sui criteri del certificato dell'editore.

Il motore di regole di AutoElevate esegue questa verifica, come la maggior parte degli strumenti di sicurezza, utilizzando le informazioni provenienti dall'archivio delle autorità di certificazione (CA) locale su ogni macchina. Microsoft aggiorna gli archivi delle autorità di certificazione locali. La sicurezza e la mitigazione delle minacce all'archivio dei certificati locali su ogni macchina dipendono fortemente dal fatto che gli utenti dispongano solo di privilegi di utente standard.

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Miglioramenti dell'integrazione di VirusTotal
  • SSO con ID Entra (Azure AD) per AutoElevate
  • Livelli UAC e impostazioni di controllo dell'account utente di Windows
  • Whitelist del firewall
  • Products
    • Privileged Access Management
    • Password Management
  • Solutions
    • For MSPs
    • For IT Pros
    • By Industry
  • Resources
    • Weekly Demos
    • Events
    • Blog
    • FAQ
  • Company
    • Leadership
    • Culture + Values
    • Careers
    • Awards
    • News & Press
    • Trust Center
    • Distributors
  • Get Pricing
  • Free Trial
  • Request a Demo
  • Support
  • Login
  • Contact
4925 Independence Parkway
Suite 400
Tampa, FL 33634
CALL US (813) 578-8200
  • Link to Facebook
  • Link to Linkedin
  • Link to Twitter
  • Link to Youtube
© 2023 CYBERFOX LLC ALL RIGHTS RESERVED  |  Privacy Policy

Knowledge Base Software powered by Helpjuice

Expand