Mitighiamo il FunnyAPP.exe/BlueHammer tramite ASR

Regole ASR (applicabili anche tramite DEFENDER_UI)

L'applicazione di queste regole è a rischio e pericolo del lettore!

Regola ASR	Impatto quotidiano scuola	Frequenza falsi positivi	Soluzione
Office child proc (d4f940ab)	Macro Excel/VBA → errore "bloccato". Stampa/Outlook link esterni.	Media	Escludi %ProgramFiles%\Microsoft Office\root\Office16 se serve.
PSExec/WMI (d1e49aac)	Tool admin remoti.	Bassa (solo IT)	Escludi psexec.exe, wmiexec.py.
LSASS dump (9e6c4e1f)	Alta: MSI install Office/aggiornamenti Patch Tuesday → errore msiexec.exe.	Alta (tutti PC)	Escludi C:\Windows\SysWOW64\msiexec.exe (sicuro).
Exe da script (d3e037e1)	PowerShell batch admin (tuoi script). Download Chrome/Edge.	Media	Escludi powershell.exe se custom.
Office Win32 API (92e97fa1)	Macro avanzate, plugin.	Bassa	Raro.
USB unsigned (b2b3f03d)	Pendrive software non firmato (es. tool portatili).	Alta	Firma tool o escludi path USB noti.

Copia/incolla in BlueHammer_ASR_Prod_BLOCK.reg e importa. Copre ASR core + BlueHammer-specific + hardening Defender/VSS/CloudFiles. Riavvia dopo import.

 

Windows Registry Editor Version 5.00

 

; =====================================================

; ASR + Mitigazioni BlueHammer per PRODUZIONE (BLOCK MODE)

; Per scuole/endpoint Windows 10/11/Server 2022-2025

; By Marco Mira 2026 and IA Analysis

; =====================================================

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules]

 

; CORE ASR (BLOCK=1)

"d4f940ab-401b-4efc-aadc-ad5f3c50688a"=dword:00000001

"d1e49aac-8f56-4280-b9ba-993a6d77406c"=dword:00000001

;Non inserire per evitare problemi con Update

"9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2"=dword:00000001

;-------------------------------------------------------

"d3e037e1-3eb8-44c8-a917-57927947596d"=dword:00000001

 

; BLUEHAMMER-SPECIFIC (BLOCK=1)

"92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b"=dword:00000001

"e6db77e5-3df2-4cf1-b95a-636979351e5b"=dword:00000001

"b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4"=dword:00000001

 

; Defender Realtime hardening

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]

"DisableBehaviorMonitoring"=dword:00000000

"DisableOnAccessProtection"=dword:00000000

"DisableScanOnRealtimeEnable"=dword:00000000

 

; VSS manual

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS]

"Start"=dword:00000003

 

; Cloud Files hardening

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudFiles]

"DisableCloudFileSync"=dword:00000001

"DisablePlaceholderSync"=dword:00000001

 

Questo file .reg è uno script per migliorare la sicurezza in Windows: configura varie policy di difesa tramite il Registro di sistema. Quando eseguito, applica le seguenti modifiche:

Attack Surface Reduction (ASR) in modalità BLOCK

Il file abilita sette regole specifiche di riduzione della superficie di attacco di Microsoft Defender impostandole su valore 1 (Blocco):

• d4f940ab-401b-4efc-aadc-ad5f3c50688a: Blocca la creazione di processi figli da tutte le applicazioni Office
• d1e49aac-8f56-4280-b9ba-993a6d77406c: Impedisce la creazione di processi originati da comandi PSExec e WMI
• 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2: Blocca il furto di credenziali da lsass.exe (commentato con avviso su possibili problemi con Windows Update)
• d3e037e1-3eb8-44c8-a917-57927947596d: Impedisce a JavaScript/VBScript di avviare contenuti eseguibili scaricati
• 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b: Blocca le chiamate API Win32 dalle macro Office
• e6db77e5-3df2-4cf1-b95a-636979351e5b: Impedisce la persistenza tramite sottoscrizione a eventi WMI
• b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4: Blocca processi non attendibili/non firmati eseguiti da unità USB

Miglioramento di Windows Defender

Nella sezione Real-Time Protection, tutti i valori sono impostati su 0, il che significa che:

• Behavior Monitoring è attivato (non disabilitato)
• On-Access Protection è attivato
• Scan on Realtime Enable è attivato

Altri servizi di sistema

• Il servizio VSS (Volume Shadow Copy) è impostato su avvio manuale (Start=3) anziché automatico
• Le funzioni di sincronizzazione cloud di OneDrive/Files On-Demand sono disabilitate tramite:
• DisableCloudFileSync=1
• DisablePlaceholderSync=1

Questa configurazione rappresenta un baseline di sicurezza per ambienti produttivi e scolastici (Windows 10/11/Server 2022-2025), progettata per bloccare tecniche di attacco comuni mantenendo attive le protezioni fondamentali di Defender. Il commento "

"Non inserire per evitare problemi con Update" indica che l'attivazione della regola ASR 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 potrebbe interferire con gli aggiornamenti di Windows!

Post-import: Verifica immediata

1. Controlla ASR attive

Get-MpPreference | Select AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

2. Log recenti

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Windows Defender/Operational'; ID=1121,1122} -MaxEvents 5

3. Riavvia MpEngine

Restart-Service WinDefend

 

Per deploy scuola (100+ PC)

Tramite GPO: Copia keys in Computer Configuration > Preferences > Registry.

Risultato: Copertura 85-90% su BlueHammer – ASR blocca dropper/esecuzione, hardening riduce VSS/CloudFiles. 

 

Profili Utente Danneggiati o Servizio NON Avviato

Per risolvere l'errore "Il servizio profilo utente non è riuscito ad accedere" su Windows, è probabile che il profilo utente sia corrotto. Ecco come puoi tentare di risolvere il problema:

1. Riavviare il PC

A volte, un semplice riavvio può risolvere problemi temporanei. Prova a riavviare il tuo computer e vedi se l'errore persiste. Se il problema si presenta ancora, continua con i passi successivi.

2. Accedere in Modalità Provvisoria

La modalità provvisoria di Windows carica solo i driver e i servizi essenziali, il che può aiutare a identificare se il problema è causato da software di terze parti. Per accedervi:

Riavvia il PC.

Mentre il PC si avvia, premi ripetutamente il tasto F8 (o Maiusc + F8 o F12, a seconda del produttore) per accedere alle opzioni di avvio avanzate.

Seleziona Modalità provvisoria con rete.

Se riesci ad accedere in modalità provvisoria, il problema non è nel sistema operativo ma probabilmente in qualche programma o driver installato.

3. Modificare il Registro di Sistema

Questo metodo è più avanzato e va eseguito con cautela. Prima di procedere, crea un punto di ripristino o un backup del registro.

Accedi con un account diverso, se possibile, o in modalità provvisoria.

Premi Win + R, digita regedit e premi Invio per aprire l'Editor del Registro di sistema.

Naviga fino a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

Vedrai diverse cartelle con nomi che iniziano con S-1-5. Cerca le cartelle che finiscono con .bak o con numeri molto lunghi senza .bak.

Se trovi una cartella con .bak, significa che è un backup di un profilo corrotto. Rinomina la cartella senza .bak, togliendo l'estensione, e rinomina quella senza l'estensione (se c'è) aggiungendo .bak alla fine. In sostanza, scambia i nomi delle due cartelle.

All'interno della cartella rinominata, modifica i seguenti valori:

State: imposta il valore a 0.

RefCount: imposta il valore a 0.

Chiudi l'Editor del Registro di sistema e riavvia il PC.

4. Creare un nuovo account utente

Se i passaggi precedenti non hanno funzionato, il tuo profilo utente potrebbe essere troppo danneggiato. L'opzione migliore è creare un nuovo account utente:

Accedi con un account amministratore (se ne hai uno).

Vai su Pannello di controllo -> Account utente -> Gestisci un altro account.

Seleziona Aggiungi un nuovo utente e segui le istruzioni per creare un account amministratore o standard.

Riavvia il PC e accedi con il nuovo account.

Una volta che hai un nuovo account funzionante, puoi copiare i file importanti (documenti, foto, ecc.) dal vecchio profilo corrotto al nuovo. Il vecchio profilo si trova in C:\Utenti\[Nome_Utente_Corrotto].

Errore ASUpIO.sys dopo Windows 11 Update

Se avete un PC ASUS è possibile che appaia un errore all'avvio dopo avere aggiornato a Windows 11.

Sono i "rimasugli" dei Software preinstallati di ASUS, in particolare Asus Suite.

Basta disattivare l'avvio del driver via registro di sistema.

Mettete a 0 Start. Chiudete Regedit e riavviate.

Manca il tasto POWER in LOCK Screen!

Oggi su un PC Windows 10 (ma vale anche per W11) non c'era più il tasto Power in basso a sinistra prima del LOGIN... Cosa fastidiosa perché implica l'accesso per spegnere la macchina.

Dopo una breve ricerca la chiave di registro da modificare è la seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

ed esattamente

"ShutdownWithoutLogon"="1"

Se questo valore è a "0" il tasto non sarà presente.

Buon lavoro