| Regola ASR | Impatto quotidiano scuola | Frequenza falsi positivi | Soluzione |
|---|---|---|---|
Office child proc (d4f940ab) | Macro Excel/VBA → errore "bloccato". Stampa/Outlook link esterni. | Media | Escludi %ProgramFiles%\Microsoft Office\root\Office16 se serve. |
PSExec/WMI (d1e49aac) | Tool admin remoti. | Bassa (solo IT) | Escludi psexec.exe, wmiexec.py. |
LSASS dump (9e6c4e1f) | Alta: MSI install Office/aggiornamenti Patch Tuesday → errore msiexec.exe. | Alta (tutti PC) | Escludi C:\Windows\SysWOW64\msiexec.exe (sicuro). |
Exe da script (d3e037e1) | PowerShell batch admin (tuoi script). Download Chrome/Edge. | Media | Escludi powershell.exe se custom. |
Office Win32 API (92e97fa1) | Macro avanzate, plugin. | Bassa | Raro. |
USB unsigned (b2b3f03d) | Pendrive software non firmato (es. tool portatili). | Alta | Firma tool o escludi path USB noti. |
Copia/incolla in BlueHammer_ASR_Prod_BLOCK.reg e
importa. Copre ASR
core + BlueHammer-specific + hardening Defender/VSS/CloudFiles. Riavvia
dopo import.
Windows Registry Editor
Version 5.00
;
=====================================================
; ASR + Mitigazioni BlueHammer
per PRODUZIONE (BLOCK MODE)
; Per scuole/endpoint Windows 10/11/Server
2022-2025
; By Marco Mira 2026 and IA Analysis
;
=====================================================
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
Defender\Windows Defender Exploit Guard\ASR\Rules]
; CORE ASR (BLOCK=1)
"d4f940ab-401b-4efc-aadc-ad5f3c50688a"=dword:00000001
"d1e49aac-8f56-4280-b9ba-993a6d77406c"=dword:00000001
;Non inserire per evitare problemi con Update
"9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2"=dword:00000001
;-------------------------------------------------------
"d3e037e1-3eb8-44c8-a917-57927947596d"=dword:00000001
; BLUEHAMMER-SPECIFIC (BLOCK=1)
"92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b"=dword:00000001
"e6db77e5-3df2-4cf1-b95a-636979351e5b"=dword:00000001
"b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4"=dword:00000001
; Defender Realtime hardening
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=dword:00000000
"DisableOnAccessProtection"=dword:00000000
"DisableScanOnRealtimeEnable"=dword:00000000
; VSS manual
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS]
"Start"=dword:00000003
; Cloud Files hardening
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudFiles]
"DisableCloudFileSync"=dword:00000001
"DisablePlaceholderSync"=dword:00000001
Questo file .reg è uno script per migliorare la sicurezza
in Windows: configura varie policy di difesa tramite il Registro di
sistema. Quando eseguito, applica le seguenti modifiche:
Attack Surface Reduction (ASR) in modalità BLOCK
Il file abilita sette regole specifiche di riduzione della
superficie di attacco di Microsoft Defender impostandole su valore 1 (Blocco):
- d4f940ab-401b-4efc-aadc-ad5f3c50688a:
Blocca la creazione di processi figli da tutte le applicazioni Office
- d1e49aac-8f56-4280-b9ba-993a6d77406c:
Impedisce la creazione di processi originati da comandi PSExec e WMI
- 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2:
Blocca il furto di credenziali da lsass.exe (commentato con avviso su
possibili problemi con Windows Update)
- d3e037e1-3eb8-44c8-a917-57927947596d:
Impedisce a JavaScript/VBScript di avviare contenuti eseguibili scaricati
- 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b:
Blocca le chiamate API Win32 dalle macro Office
- e6db77e5-3df2-4cf1-b95a-636979351e5b:
Impedisce la persistenza tramite sottoscrizione a eventi WMI
- b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4:
Blocca processi non attendibili/non firmati eseguiti da unità USB
Miglioramento di Windows Defender
Nella sezione Real-Time Protection, tutti i valori sono
impostati su 0, il che significa che:
- Behavior
Monitoring è attivato (non disabilitato)
- On-Access
Protection è attivato
- Scan
on Realtime Enable è attivato
Altri servizi di sistema
- Il
servizio VSS (Volume Shadow Copy) è impostato su avvio
manuale (Start=3) anziché automatico
- Le
funzioni di sincronizzazione cloud di OneDrive/Files
On-Demand sono disabilitate tramite:
- DisableCloudFileSync=1
- DisablePlaceholderSync=1
Questa configurazione rappresenta un baseline di sicurezza
per ambienti produttivi e scolastici (Windows 10/11/Server 2022-2025),
progettata per bloccare tecniche di attacco comuni mantenendo attive le
protezioni fondamentali di Defender. Il commento "
"Non inserire per
evitare problemi con Update" indica che l'attivazione della regola
ASR 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 potrebbe interferire con gli
aggiornamenti di Windows!
Post-import: Verifica immediata
1. Controlla ASR attive
Get-MpPreference
| Select AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions
2. Log
recenti
Get-WinEvent
-FilterHashtable @{LogName='Microsoft-Windows-Windows Defender/Operational';
ID=1121,1122} -MaxEvents 5
3. Riavvia
MpEngine
Restart-Service
WinDefend
Per deploy scuola (100+ PC)
Tramite GPO: Copia keys in Computer
Configuration > Preferences > Registry.
Risultato: Copertura 85-90% su BlueHammer – ASR blocca
dropper/esecuzione, hardening riduce VSS/CloudFiles.
