Attivare la protezione dagli Exploit in Windows Defender

Come configurare la protezione anti exploit in Windows Defender, come si usa e cosa significa, in Windows 10 e Windows 11

La protezione dagli exploit è una nuova, importante, funzionalità di protezione per Windows 10, che integrata nell'antivirus Windows Defender e migliorata in Windows 11.
Exploit Guard include un insieme di funzionalità che comprendono la protezione degli exploit, la riduzione della superficie di attacco (attack surface), la protezione della rete e l' accesso controllato alle cartelle.

Protezione dagli exploit significa protezione contro ogni tipologia di virus che possa sfruttare vulnerabilità, anche sconosciute, presenti in un sistema informatico.
Questo serva a garantire una protezione certa non solo contro i virus conosciuti, ma anche contro i malware ancora da scoprire (chiamati Zero-day), per i quali l'antivirus non è preparato ad agire.

Cosa sono gli exploit e perché dobbiamo proteggerci

Immagina un exploit come un ladro che trova una finestra lasciata aperta in casa tua: usa un punto debole di un programma (come il browser o un lettore PDF) per entrare e fare danni. Questi attacchi sono pericolosi perché possono colpire anche senza che tu apra un file infetto o clicchi su un link sospetto. La protezione dagli exploit di Windows Defender agisce come un sistema di allarme, bloccando questi tentativi prima che possano causare problemi. È una funzione inclusa in Windows 10 e Windows 11, attiva di default, ma che puoi personalizzare per ottenere il massimo della sicurezza.

Un Exploit altro non è che un malware capace di sfruttare le vulnerabilità e le insicurezze dei software (leggi anche "Tipi di malware e differenze tra Trojan, Worms e Virus").
Gli antivirus tradizionali con protezione real time riconoscono malware e virus facendo l'analisi di alcune regole comportamentali e richiedono aggiornamenti frequenti per importare nuovi riferimenti riguardo le ultime infezioni scoperte.
L'antivirus è come un dottore che sa riconoscere e curare le malattie che ha studiato nel suo libro di medicina; se il dottore non aggiorna le sue conoscenza, può non essere in grado di curare le malattie più rare scoperte da poco.
Quindi, anche se gli antivirus vengono aggiornati ogni giorno, può capitare che un nuovo exploit o una vulnerabilità sconosciuta scappi al controllo e provochi problemi al PC.

Come accedere alle impostazioni della protezione dagli exploit

Per iniziare, dobbiamo aprire l’app Sicurezza di Windows, il centro di controllo per tutte le funzioni di sicurezza del sistema. Ecco come fare:

1. Clicca sul pulsante Start (l’icona di Windows in basso a sinistra).
2. Digita Sicurezza di Windows nella barra di ricerca e seleziona l’app.
3. Nella schermata principale, vai su Controllo delle app e del browser (lo trovi nella barra laterale sinistra).

Qui vedrai diverse opzioni, tra cui quella che ci interessa: Protezione dagli exploit. Clicca sul link Impostazioni di protezione dagli exploit per entrare nel pannello di configurazione.

Le varie opzioni, che devono essere quasi tutte attive, sono suddivise in Impostazioni di sistema e Impostazioni programmi.
Le impostazioni di sistema sono:
- Protezione del flusso di controllo (CFG) - Attivo.
- Protezione esecuzione programmi (DEP) - Attiva.
- Forza l'assegnazione casuale per le immagini (ASLR obbligatoria) - Disattivata per impostazione predefinita.
- utilizza le allocazioni di memoria casuali (Bottom-up ASLR) - Attiva.
- Convalida catene di eccezione (SEHOP) - Attiva.
- Convalida l'integrità dell'heap - Attiva.
Il significato delle varie opzioni è molto tecnico quindi conviene lasciare le opzioni così come sono senza modificarle, a meno di specifiche esigenze.

Verifica che la protezione sia attiva

Buone notizie: la protezione dagli exploit è già attiva di default su Windows 10 e 11, quindi non devi fare nulla per abilitarla. Tuttavia, vale la pena controllare che tutto sia a posto. Nel pannello delle impostazioni, troverai due sezioni principali:

• Impostazioni di sistema: regole generali che si applicano a tutto il sistema operativo.
• Impostazioni programmi: opzioni per personalizzare la protezione su programmi specifici.

Le impostazioni di sistema includono funzioni come Protezione del flusso di controllo (CFG) e Protezione esecuzione programmi (DEP), che sono già attivate. Non preoccuparti dei termini tecnici: in parole semplici, queste opzioni impediscono ai programmi di comportarsi in modo sospetto, come accedere a zone della memoria che non dovrebbero toccare.

Personalizzare la protezione per i tuoi programmi

A volte, potresti voler regolare la protezione per un programma specifico, magari perché un’app che usi spesso viene bloccata per errore. Ecco come fare:

1. Nella sezione Impostazioni programmi, clicca su Aggiungi programma da personalizzare.
2. Scegli se aggiungere il programma per nome (ad esempio, “firefox.exe”) o selezionandolo da un elenco.
3. Una volta aggiunto, vedrai un elenco di opzioni, come Protezione del flusso di controllo o Blocco codice arbitrario. Puoi attivare o disattivare queste funzioni per quel programma.

Attenzione: modificare queste impostazioni richiede un po’ di cautela. Se non sei sicuro, lascia tutto com’è, perché le impostazioni predefinite sono già ben bilanciate per la maggior parte degli utenti. Cambiare troppo potrebbe causare problemi, come far crashare un’app o ridurre la sicurezza.

Modalità di controllo per testare senza rischi

Se vuoi sperimentare con le impostazioni ma hai paura di fare pasticci, Windows offre una modalità di controllo. In questa modalità, la protezione dagli exploit non blocca nulla, ma registra cosa sarebbe successo se fosse stata attiva. È un ottimo modo per testare nuove configurazioni senza rischiare di interrompere il funzionamento di un programma.

Per attivarla:

1. Vai in Impostazioni di protezione dagli exploit.
2. Seleziona un programma o un’impostazione di sistema.
3. Imposta l’opzione su Controllo invece di Attivata o Disattivata.

Puoi poi controllare i risultati nel Visualizzatore eventi di Windows per vedere quali azioni sarebbero state bloccate.

LEGGI ANCHE: Guida alle Impostazioni Sicurezza di Windows

Da citare, infine, la possibilità di attivare la riduzione superficie di attacco, ossia della parte di sistema che può essere esposta a modifiche non autorizzate.
Questa configurazione si può fare aprendo i criteri di gruppo locali (cercare dal menu Start), andando in Configurazione computer > Modelli amministrativi > Componenti di Windows > Windows Defender Antivirus > Windows Defender Exploit Guard.
In questa sezione è possibile attivare o disattivare funzioni di sicurezza che possiamo trovare anche nelle Impostazioni di Windows 10 (nel Windows defender Security Center), ossia l'accesso alle cartelle controllato (l'anti ransomware) e la protezione dalla rete (Smartscreen).
Inoltre c'è anche una configurazione non presente nelle Impostazioni, riservata ad amministratori di reti aziendali, che permette di ridurre la superficie di attacco.

LEGGI ANCHE: Antivirus per Windows: meglio installarne uno o basta Windows Defender?