Referencia de reglas de reducción de superficie expuesta a ataques
Se aplica a:
- Microsoft Microsoft Defender XDR para el plan de punto de conexión 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
- Antivirus de Microsoft Defender
Plataformas:
- Windows
En este artículo se proporciona información sobre Microsoft Defender para punto de conexión reglas de reducción de superficie expuesta a ataques (reglas ASR):
- Reglas de ASR compatibles con versiones del sistema operativo
- Las reglas de ASR admiten sistemas de administración de configuración
- Por detalles de alerta de regla y notificación de ASR
- Regla ASR a matriz GUID
- Modos de regla de ASR
- Descripciones por regla
Importante
Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Sugerencia
Como complemento a este artículo, consulte nuestra guía de configuración de Microsoft Defender para punto de conexión para revisar los procedimientos recomendados y obtener información sobre herramientas esenciales, como la reducción de la superficie expuesta a ataques y la protección de próxima generación. Para obtener una experiencia personalizada basada en su entorno, puede acceder a la guía de configuración automatizada de Defender para punto de conexión en el Centro de administración de Microsoft 365.
Reglas de reducción de superficie expuesta a ataques por tipo
Las reglas de reducción de superficie expuesta a ataques se clasifican como uno de dos tipos:
Standard reglas de protección: son el conjunto mínimo de reglas que Microsoft recomienda habilitar siempre, mientras evalúa el efecto y las necesidades de configuración de las otras reglas de ASR. Estas reglas suelen tener un impacto mínimo o no perceptible en el usuario final.
Otras reglas: reglas que requieren cierta medida de seguir los pasos de implementación documentados [Planear > prueba (auditoría) > Habilitar (modos de bloqueo/advertencia)], como se documenta en la guía de implementación de reglas de reducción de superficie expuesta a ataques
Para obtener el método más sencillo para habilitar las reglas de protección estándar, consulte: Opción de protección estándar simplificada.
Nombre de regla de ASR: | Standard regla de protección? | ¿Otra regla? |
---|---|---|
Bloquear el abuso de controladores firmados vulnerables explotados | Yes | |
Impedir que Adobe Reader cree procesos secundarios | Yes | |
Impedir que todas las aplicaciones de Office creen procesos secundarios | Yes | |
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe) | Yes | |
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web | Yes | |
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza | Yes | |
Bloquear la ejecución de scripts potencialmente ofuscados | Yes | |
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado | Yes | |
Impedir que las aplicaciones de Office creen contenido ejecutable | Yes | |
Impedir que las aplicaciones de Office inserten código en otros procesos | Yes | |
Impedir que la aplicación de comunicación de Office cree procesos secundarios | Yes | |
Bloquear la persistencia a través de la suscripción de eventos WMI | Yes | |
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI | Yes | |
Bloquear el reinicio de la máquina en modo seguro (versión preliminar) | Yes | |
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB | Yes | |
Bloquear el uso de herramientas del sistema copiadas o suplantadas (versión preliminar) | Yes | |
Bloquear la creación de WebShell para servidores | Yes | |
Bloquear llamadas API de Win32 desde macros de Office | Yes | |
Uso de protección avanzada contra ransomware | Yes |
Microsoft Defender exclusiones de Antivirus y reglas de ASR
Microsoft Defender las exclusiones de Antivirus se aplican a algunas funcionalidades de Microsoft Defender para punto de conexión, como algunas de las reglas de reducción de superficie expuesta a ataques.
Las siguientes reglas de ASR NO respetan las exclusiones de antivirus de Microsoft Defender:
Nota:
Para obtener información sobre cómo configurar exclusiones por regla, vea la sección titulada Configurar exclusiones de reglas ASR por regla en el tema Reglas de reducción de superficie expuesta a ataques de prueba.
Reglas de ASR e indicadores de compromiso de Defender para punto de conexión (IOC)
Las siguientes reglas de ASR NO respetan Microsoft Defender para punto de conexión indicadores de compromiso (IOC):
Nombre de regla de ASR | Descripción |
---|---|
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe) | No respeta los indicadores de riesgo de los archivos o certificados. |
Impedir que las aplicaciones de Office inserten código en otros procesos | No respeta los indicadores de riesgo de los archivos o certificados. |
Bloquear llamadas API de Win32 desde macros de Office | No respeta los indicadores de riesgo de los certificados. |
Sistemas operativos compatibles con las reglas de ASR
En la tabla siguiente se enumeran los sistemas operativos admitidos para las reglas que se publican actualmente para la disponibilidad general. Las reglas aparecen en orden alfabético en esta tabla.
Nota:
A menos que se indique lo contrario, la compilación mínima de Windows10 es la versión 1709 (RS3, compilación 16299) o posterior; la compilación mínima de Windows Server es la versión 1809 o posterior. Las reglas de reducción de superficie expuesta a ataques en Windows Server 2012 R2 y Windows Server 2016 están disponibles para los dispositivos incorporados mediante el paquete de soluciones unificadas moderno. Para obtener más información, vea Nueva funcionalidad de Windows Server 2012 R2 y 2016 en la solución unificada moderna.
(1) Hace referencia a la solución unificada moderna para Windows Server 2012 y 2016. Para obtener más información, vea Incorporación de servidores Windows al servicio Defender para punto de conexión.
(2) Para Windows Server 2016 y Windows Server 2012 R2, la versión mínima necesaria de Microsoft Endpoint Configuration Manager es la versión 2111.
(3) La versión y el número de compilación solo se aplican a Windows10.
Las reglas de ASR admiten sistemas de administración de configuración
Debajo de esta tabla se enumeran vínculos a información sobre las versiones del sistema de administración de configuración a las que se hace referencia en esta tabla.
(1) Puede configurar reglas de reducción de superficie expuesta a ataques por regla mediante el GUID de cualquier regla.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
-
System Center Configuration Manager (SCCM) CB 1710
SCCM ahora está Microsoft Configuration Manager.
Por detalles de alerta de regla y notificación de ASR
Las notificaciones del sistema se generan para todas las reglas en modo de bloque. Las reglas de cualquier otro modo no generan notificaciones del sistema.
Para las reglas con el "estado de regla" especificado:
- Las reglas de ASR con
\ASR Rule, Rule State\
combinaciones se usan para exponer alertas (notificaciones del sistema) en Microsoft Defender para punto de conexión solo para dispositivos en el nivel de bloque en la nube "Alto". - Los dispositivos que no están en el nivel de bloque de nube alta no generan alertas para ninguna
ASR Rule, Rule State
combinación - Las alertas de EDR se generan para las reglas de ASR en los estados especificados, para los dispositivos en el nivel de bloque en la nube "High+"
- Las notificaciones del sistema solo se producen en modo de bloque y para dispositivos en el nivel de bloque en la nube "Alto"
Regla ASR a matriz GUID
Nombre de la regla | GUID de regla |
---|---|
Bloquear el abuso de controladores firmados vulnerables explotados | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
Impedir que Adobe Reader cree procesos secundarios | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
Impedir que todas las aplicaciones de Office creen procesos secundarios | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
Bloquear la ejecución de scripts potencialmente ofuscados | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado | d3e037e1-3eb8-44c8-a917-57927947596d |
Impedir que las aplicaciones de Office creen contenido ejecutable | 3b576869-a4ec-4529-8536-b80a7769e899 |
Impedir que las aplicaciones de Office inserten código en otros procesos | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
Impedir que la aplicación de comunicación de Office cree procesos secundarios | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
Bloquear la persistencia a través de la suscripción de eventos WMI * No se admiten las exclusiones de archivos y carpetas. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
Bloquear el reinicio de la máquina en modo seguro (versión preliminar) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
Bloquear el uso de herramientas del sistema copiadas o suplantadas (versión preliminar) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
Bloquear la creación de WebShell para servidores | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Bloquear llamadas API de Win32 desde macros de Office | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
Uso de protección avanzada contra ransomware | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Modos de regla de ASR
- Sin configurar o Deshabilitar: estado en el que la regla ASR no está habilitada o deshabilitada. Código para este estado = 0.
- Bloquear: el estado en el que está habilitada la regla ASR. El código de este estado es 1.
- Auditoría: el estado en el que se evalúa la regla ASR para el efecto que tendría en la organización o entorno si está habilitada (se establece para bloquear o advertir). El código de este estado es 2.
- Advertir Estado en el que está habilitada la regla ASR y presenta una notificación al usuario final, pero permite al usuario final omitir el bloque. El código de este estado es 6.
El modo de advertencia es un tipo de modo de bloque que alerta a los usuarios sobre acciones potencialmente de riesgo. Los usuarios pueden optar por omitir el mensaje de advertencia de bloque y permitir la acción subyacente. Los usuarios pueden seleccionar Aceptar para aplicar el bloque o seleccionar la opción de omisión ( Desbloquear ) a través de la notificación del sistema emergente del usuario final que se genera en el momento del bloqueo. Una vez desbloqueada la advertencia, la operación se permite hasta la próxima vez que se produce el mensaje de advertencia, momento en el que el usuario final tendrá que volver a ejecutar la acción.
Cuando se hace clic en el botón permitir, el bloque se suprime durante 24 horas. Después de 24 horas, el usuario final tendrá que volver a permitir el bloque. El modo de advertencia para las reglas ASR solo se admite para dispositivos RS5+ (1809+). Si la omisión se asigna a reglas ASR en dispositivos con versiones anteriores, la regla está en modo bloqueado.
También puede establecer una regla en modo de advertencia a través de PowerShell especificando como AttackSurfaceReductionRules_Actions
"Advertir". Por ejemplo:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Descripciones por regla
Bloquear el abuso de controladores firmados vulnerables explotados
Esta regla impide que una aplicación escriba un controlador firmado vulnerable en el disco. Las aplicaciones locales que tienen privilegios suficientes pueden aprovechar los controladores firmados vulnerables y vulnerables para obtener acceso al kernel. Los controladores firmados vulnerables permiten a los atacantes deshabilitar o eludir las soluciones de seguridad, lo que finalmente conduce a un riesgo para el sistema.
La regla Bloquear abuso de controladores firmados vulnerables vulnerables no impide que se cargue un controlador que ya existe en el sistema.
Nota:
Puede configurar esta regla mediante Intune OMA-URI. Consulte Intune OMA-URI para configurar reglas personalizadas. También puede configurar esta regla mediante PowerShell. Para que se examine un controlador, use este sitio web para enviar un controlador para su análisis.
nombre de Intune:Block abuse of exploited vulnerable signed drivers
Configuration Manager nombre: todavía no disponible
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Tipo de acción de búsqueda avanzada:
AsrVulnerableSignedDriverAudited
AsrVulnerableSignedDriverBlocked
Impedir que Adobe Reader cree procesos secundarios
Esta regla evita ataques al impedir que Adobe Reader cree procesos.
El malware puede descargar e iniciar cargas útiles y salir de Adobe Reader a través de ingeniería social o vulnerabilidades de seguridad. Al impedir que Adobe Reader genere procesos secundarios, no se puede propagar el malware que intenta usar Adobe Reader como vector de ataque.
Intune nombre:Process creation from Adobe Reader (beta)
Configuration Manager nombre: todavía no disponible
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Tipo de acción de búsqueda avanzada:
AsrAdobeReaderChildProcessAudited
AsrAdobeReaderChildProcessBlocked
Dependencias: antivirus de Microsoft Defender
Impedir que todas las aplicaciones de Office creen procesos secundarios
Esta regla impide que las aplicaciones de Office creen procesos secundarios. Las aplicaciones de Office incluyen Word, Excel, PowerPoint, OneNote y Access.
La creación de procesos secundarios malintencionados es una estrategia de malware común. El malware que abusa de Office como vector a menudo ejecuta macros de VBA y aprovecha el código para descargar e intentar ejecutar más cargas. Sin embargo, algunas aplicaciones de línea de negocio legítimas también pueden generar procesos secundarios con fines benignos; como generar un símbolo del sistema o usar PowerShell para configurar la configuración del Registro.
Intune nombre:Office apps launching child processes
Configuration Manager nombre:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Tipo de acción de búsqueda avanzada:
AsrOfficeChildProcessAudited
AsrOfficeChildProcessBlocked
Dependencias: antivirus de Microsoft Defender
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows
Nota:
Si tiene habilitada la protección de LSA y Credential Guard habilitada, esta regla de reducción de la superficie expuesta a ataques no es necesaria.
Esta regla ayuda a evitar el robo de credenciales mediante el bloqueo del servicio de subsistema de autoridad de seguridad local (LSASS).
LSASS autentica a los usuarios que inician sesión en un equipo Windows. Microsoft Defender Credential Guard en Windows normalmente impide los intentos de extraer credenciales de LSASS. Algunas organizaciones no pueden habilitar Credential Guard en todos sus equipos debido a problemas de compatibilidad con controladores de tarjeta inteligente personalizados u otros programas que se cargan en la autoridad de seguridad local (LSA). En estos casos, los atacantes pueden usar herramientas como Mimikatz para extraer contraseñas de texto no cifrado y hashES NTLM de LSASS.
De forma predeterminada, el estado de esta regla se establece en block. En la mayoría de los casos, muchos procesos realizan llamadas a LSASS para obtener derechos de acceso que no son necesarios. Por ejemplo, por ejemplo, cuando el bloque inicial de la regla ASR da como resultado una llamada posterior para un privilegio menor que posteriormente se realiza correctamente. Para obtener información sobre los tipos de derechos que normalmente se solicitan en las llamadas de proceso a LSASS, vea: Seguridad de procesos y derechos de acceso.
La habilitación de esta regla no proporciona protección adicional si tiene habilitada la protección de LSA, ya que la regla asr y la protección de LSA funcionan de forma similar. Sin embargo, cuando no se puede habilitar la protección de LSA, esta regla se puede configurar para proporcionar una protección equivalente contra el malware que tiene como destino lsass.exe
.
Sugerencia
- Los eventos de auditoría de ASR no generan notificaciones del sistema. Sin embargo, dado que la regla de ASR de LSASS genera un gran volumen de eventos de auditoría, casi todos los cuales son seguros de omitir cuando la regla está habilitada en modo de bloque, puede optar por omitir la evaluación del modo de auditoría y continuar con la implementación en modo de bloque, empezando por un pequeño conjunto de dispositivos y expandiéndose gradualmente para cubrir el resto.
- La regla está diseñada para suprimir informes o notificaciones del sistema de bloques para procesos descriptivos. También está diseñado para quitar informes de bloques duplicados. Por lo tanto, la regla es adecuada para habilitarse en modo de bloque, independientemente de si las notificaciones del sistema están habilitadas o deshabilitadas.
- ASR en modo de advertencia está diseñado para presentar a los usuarios una notificación del sistema de bloqueo que incluye un botón "Desbloquear". Debido a la naturaleza "segura de omitir" de los bloques ASR de LSASS y su gran volumen, el modo WARN no es aconsejable para esta regla (independientemente de si las notificaciones del sistema están habilitadas o deshabilitadas).
Nota:
En este escenario, la regla de ASR se clasifica como "no aplicable" en la configuración de Defender para punto de conexión en el portal de Microsoft Defender. La regla ASR Bloquear robo de credenciales del subsistema de autoridad de seguridad local de Windows no admite el modo WARN. En algunas aplicaciones, el código enumera todos los procesos en ejecución e intenta abrirlos con permisos exhaustivos. Esta regla deniega la acción de apertura del proceso de la aplicación y registra los detalles en el registro de eventos de seguridad. Esta regla puede generar mucho ruido. Si tiene una aplicación que simplemente enumera LSASS, pero no tiene ningún impacto real en la funcionalidad, no es necesario agregarla a la lista de exclusión. Por sí sola, esta entrada del registro de eventos no indica necesariamente una amenaza malintencionada.
Intune nombre:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager nombre:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Tipo de acción de búsqueda avanzada:
AsrLsassCredentialTheftAudited
AsrLsassCredentialTheftBlocked
Dependencias: antivirus de Microsoft Defender
Problemas conocidos: estas aplicaciones y la regla "Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows" son incompatibles:
Nombre de la aplicación | Para obtener información |
---|---|
Sincronización de contraseñas de Dirsync de Quest | Dirsync Password Sync no funciona cuando está instalado Windows Defender, error: "Error de VirtualAllocEx: 5" (4253914) |
Para obtener soporte técnico, póngase en contacto con el proveedor de software.
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web
Esta regla impide que el correo electrónico abierto dentro de la aplicación Microsoft Outlook o Outlook.com y otros proveedores de correo web populares propaguen los siguientes tipos de archivo:
- Archivos ejecutables (como .exe, .dll o .scr)
- Archivos de script (como un .ps1 de PowerShell, visual Basic .vbs o un archivo de .js de JavaScript)
Intune nombre:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager nombre:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Tipo de acción de búsqueda avanzada:
AsrExecutableEmailContentAudited
AsrExecutableEmailContentBlocked
Dependencias: antivirus de Microsoft Defender
Nota:
La regla Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web tiene las siguientes descripciones alternativas, en función de la aplicación que use:
- Intune (perfiles de configuración): la ejecución del contenido ejecutable (exe, dll, ps, js, vbs, etc.) se ha eliminado del correo electrónico (cliente de correo web/correo) (sin excepciones).
- Configuration Manager: Bloquear la descarga de contenido ejecutable de clientes de correo electrónico y correo web.
- directiva de grupo: Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web.
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza
Esta regla impide que se inicien archivos ejecutables, como .exe, .dll o .scr. Por lo tanto, iniciar archivos ejecutables desconocidos o que no son de confianza puede ser arriesgado, ya que es posible que no esté claro inicialmente si los archivos son malintencionados.
Importante
Debe habilitar la protección entregada en la nube para usar esta regla.
La regla Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza con GUID 01443614-cd74-433a-b99e-2ecdc07bfc25
es propiedad de Microsoft y no lo especifican los administradores. Esta regla usa la protección entregada en la nube para actualizar su lista de confianza con regularidad.
Puede especificar archivos o carpetas individuales (mediante rutas de acceso de carpeta o nombres de recursos completos), pero no puede especificar a qué reglas o exclusiones se aplican.
Intune nombre:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager nombre:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Tipo de acción de búsqueda avanzada:
AsrUntrustedExecutableAudited
AsrUntrustedExecutableBlocked
Dependencias: Microsoft Defender Antivirus, Cloud Protection
Bloquear la ejecución de scripts potencialmente ofuscados
Esta regla detecta propiedades sospechosas dentro de un script ofuscado.
Nota:
Ahora se admiten scripts de PowerShell para la regla "Bloquear la ejecución de scripts potencialmente ofuscados".
Importante
Debe habilitar la protección entregada en la nube para usar esta regla.
La ofuscación de scripts es una técnica común que usan los autores de malware y las aplicaciones legítimas para ocultar la propiedad intelectual o reducir los tiempos de carga de scripts. Los autores de malware también usan ofuscación para dificultar la lectura de código malintencionado, lo que dificulta el examen de cerca por parte de los humanos y el software de seguridad.
Intune nombre:Obfuscated js/vbs/ps/macro code
Configuration Manager nombre:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Tipo de acción de búsqueda avanzada:
AsrObfuscatedScriptAudited
AsrObfuscatedScriptBlocked
Dependencias: Microsoft Defender Antivirus, Interfaz de examen antimalware (AMSI)
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado
Esta regla impide que los scripts inicien contenido descargado potencialmente malintencionado. El malware escrito en JavaScript o VBScript a menudo actúa como descargador para capturar e iniciar otro malware desde Internet. Aunque no es común, las aplicaciones de línea de negocio a veces usan scripts para descargar e iniciar instaladores.
Intune nombre:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager nombre:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Tipo de acción de búsqueda avanzada:
AsrScriptExecutableDownloadAudited
AsrScriptExecutableDownloadBlocked
Dependencias: Microsoft Defender Antivirus, AMSI
Impedir que las aplicaciones de Office creen contenido ejecutable
Esta regla impide que las aplicaciones de Office, incluidos Word, Excel y PowerPoint, creen contenido ejecutable potencialmente malintencionado, bloqueando la escritura de código malintencionado en el disco. El malware que abusa de Office como vector podría intentar salir de Office y guardar componentes malintencionados en el disco. Estos componentes malintencionados sobrevivirían a un reinicio del equipo y persistirían en el sistema. Por lo tanto, esta regla se defiende frente a una técnica de persistencia común. Esta regla también bloquea la ejecución de archivos que no son de confianza que pueden haberse guardado mediante macros de Office que pueden ejecutarse en archivos de Office.
Intune nombre:Office apps/macros creating executable content
Configuration Manager nombre:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Tipo de acción de búsqueda avanzada:
AsrExecutableOfficeContentAudited
AsrExecutableOfficeContentBlocked
Dependencias: Microsoft Defender Antivirus, RPC
Impedir que las aplicaciones de Office inserten código en otros procesos
Esta regla bloquea los intentos de inyección de código de aplicaciones de Office en otros procesos.
Nota:
La regla Bloquear que las aplicaciones no inserten código en otros procesos asr no admite el modo WARN.
Importante
Esta regla requiere reiniciar Aplicaciones Microsoft 365 (aplicaciones de Office) para que los cambios de configuración surtan efecto.
Los atacantes pueden intentar usar aplicaciones de Office para migrar código malintencionado a otros procesos mediante la inyección de código, de modo que el código pueda enmascararse como un proceso limpio. No hay ningún propósito comercial legítimo conocido para usar la inyección de código.
Esta regla se aplica a Word, Excel, OneNote y PowerPoint.
Intune nombre:Office apps injecting code into other processes (no exceptions)
Configuration Manager nombre:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Tipo de acción de búsqueda avanzada:
AsrOfficeProcessInjectionAudited
AsrOfficeProcessInjectionBlocked
Dependencias: antivirus de Microsoft Defender
Problemas conocidos: estas aplicaciones y la regla "Impedir que las aplicaciones de Office inserten código en otros procesos", son incompatibles:
Nombre de la aplicación | Para obtener información |
---|---|
Protección de privilegios de Avecto (BeyondTrust) | Septiembre de 2024 (Plataforma: 4.18.24090.11 | Motor 1.1.24090.11). |
Seguridad de Heimdal | No aplicable |
Para obtener soporte técnico, póngase en contacto con el proveedor de software.
Impedir que la aplicación de comunicación de Office cree procesos secundarios
Esta regla impide que Outlook cree procesos secundarios, a la vez que permite funciones legítimas de Outlook. Esta regla protege contra ataques de ingeniería social e impide que el código de explotación abuse de vulnerabilidades en Outlook. También protege contra las vulnerabilidades de seguridad de formularios y reglas de Outlook que los atacantes pueden usar cuando las credenciales de un usuario están en peligro.
Nota:
Esta regla bloquea las sugerencias de directiva DLP y las información sobre herramientas en Outlook. Esta regla solo se aplica a Outlook y Outlook.com.
Intune nombre:Process creation from Office communication products (beta)
nombre de Configuration Manager: No disponible
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Tipo de acción de búsqueda avanzada:
AsrOfficeCommAppChildProcessAudited
AsrOfficeCommAppChildProcessBlocked
Dependencias: antivirus de Microsoft Defender
Bloquear la persistencia a través de la suscripción de eventos WMI
Esta regla impide que el malware abuse de WMI para lograr persistencia en un dispositivo.
Importante
Las exclusiones de archivos y carpetas no se aplican a esta regla de reducción de superficie expuesta a ataques.
Las amenazas sin archivo emplean varias tácticas para permanecer ocultas, evitar ser detectadas en el sistema de archivos y obtener el control de la ejecución periódica. Algunas amenazas pueden abusar del repositorio WMI y el modelo de eventos para permanecer ocultas.
Nota:
Si CcmExec.exe
se detecta (SCCM Agente) en el dispositivo, la regla de ASR se clasifica como "no aplicable" en la configuración de Defender para punto de conexión en el portal de Microsoft Defender.
Intune nombre:Persistence through WMI event subscription
nombre de Configuration Manager: No disponible
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Tipo de acción de búsqueda avanzada:
AsrPersistenceThroughWmiAudited
AsrPersistenceThroughWmiBlocked
Dependencias: Microsoft Defender Antivirus, RPC
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI
Esta regla impide que se ejecuten los procesos creados a través de PsExec y WMI . PsExec y WMI pueden ejecutar código de forma remota. Existe el riesgo de que el malware abuse de la funcionalidad de PsExec y WMI con fines de comando y control, o de propagar una infección a través de la red de una organización.
Advertencia
Use esta regla solo si va a administrar los dispositivos con Intune u otra solución MDM. Esta regla no es compatible con la administración a través del punto de conexión de Microsoft Configuration Manager porque esta regla bloquea los comandos WMI que el cliente Configuration Manager usa para funcionar correctamente.
Intune nombre:Process creation from PSExec and WMI commands
nombre de Configuration Manager: no aplicable
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Tipo de acción de búsqueda avanzada:
AsrPsexecWmiChildProcessAudited
AsrPsexecWmiChildProcessBlocked
Dependencias: antivirus de Microsoft Defender
Bloquear el reinicio de la máquina en modo seguro (versión preliminar)
Esta regla impide la ejecución de comandos para reiniciar máquinas en modo seguro. El modo seguro es un modo de diagnóstico que solo carga los archivos y controladores esenciales necesarios para que Windows se ejecute. Sin embargo, en el modo seguro, muchos productos de seguridad están deshabilitados o funcionan con una capacidad limitada, lo que permite a los atacantes iniciar aún más comandos de manipulación, o simplemente ejecutar y cifrar todos los archivos de la máquina. Esta regla bloquea estos ataques evitando que los procesos reinicien máquinas en modo seguro.
Nota:
Esta funcionalidad está actualmente en versión preliminar. Se están desarrollando actualizaciones adicionales para mejorar la eficacia.
nombre de Intune:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager nombre: todavía no disponible
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Tipo de acción de búsqueda avanzada:
AsrSafeModeRebootedAudited
AsrSafeModeRebootBlocked
AsrSafeModeRebootWarnBypassed
Dependencias: antivirus de Microsoft Defender
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB
Con esta regla, los administradores pueden evitar que los archivos ejecutables no firmados o que no son de confianza se ejecuten desde unidades extraíbles USB, incluidas las tarjetas SD. Los tipos de archivo bloqueados incluyen archivos ejecutables (como .exe, .dll o .scr)
Importante
Esta regla bloqueará los archivos copiados desde el USB a la unidad de disco si y cuándo se van a ejecutar en la unidad de disco.
Intune nombre:Untrusted and unsigned processes that run from USB
Configuration Manager nombre:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Tipo de acción de búsqueda avanzada:
AsrUntrustedUsbProcessAudited
AsrUntrustedUsbProcessBlocked
Dependencias: antivirus de Microsoft Defender
Bloquear el uso de herramientas del sistema copiadas o suplantadas (versión preliminar)
Esta regla bloquea el uso de archivos ejecutables que se identifican como copias de las herramientas del sistema de Windows. Estos archivos son duplicados o impostores de las herramientas del sistema originales. Algunos programas malintencionados pueden intentar copiar o suplantar las herramientas del sistema de Windows para evitar la detección o obtener privilegios. Permitir estos archivos ejecutables puede provocar posibles ataques. Esta regla impide la propagación y ejecución de estos duplicados e impostores de las herramientas del sistema en máquinas Windows.
Nota:
Esta funcionalidad está actualmente en versión preliminar. Se están desarrollando actualizaciones adicionales para mejorar la eficacia.
nombre de Intune:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager nombre: todavía no disponible
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Tipo de acción de búsqueda avanzada:
AsrAbusedSystemToolAudited
AsrAbusedSystemToolBlocked
AsrAbusedSystemToolWarnBypassed
Dependencias: antivirus de Microsoft Defender
Bloquear la creación de WebShell para servidores
Esta regla bloquea la creación de scripts de shell web en Microsoft Server, rol de Exchange. Un script de shell web es un script específicamente diseñado que permite a un atacante controlar el servidor en peligro. Un shell web puede incluir funcionalidades como recibir y ejecutar comandos malintencionados, descargar y ejecutar archivos malintencionados, robar y filtrar credenciales e información confidencial, identificar posibles destinos, etc.
Intune nombre:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Dependencias: antivirus de Microsoft Defender
Bloquear llamadas API de Win32 desde macros de Office
Esta regla impide que las macros de VBA llamen a las API de Win32. VBA de Office habilita las llamadas API de Win32. El malware puede abusar de esta funcionalidad, como llamar a las API win32 para iniciar código de shell malintencionado sin escribir nada directamente en el disco. La mayoría de las organizaciones no se basan en la capacidad de llamar a las API win32 en su funcionamiento diario, incluso si usan macros de otras maneras.
Intune nombre:Win32 imports from Office macro code
Configuration Manager nombre:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Tipo de acción de búsqueda avanzada:
AsrOfficeMacroWin32ApiCallsAudited
AsrOfficeMacroWin32ApiCallsBlocked
Dependencias: Microsoft Defender Antivirus, AMSI
Uso de protección avanzada contra ransomware
Esta regla proporciona una capa adicional de protección contra ransomware. Usa heurística de cliente y nube para determinar si un archivo es similar a un ransomware. Esta regla no bloquea los archivos que tienen una o varias de las características siguientes:
- Ya se ha detectado que el archivo no está en la nube de Microsoft.
- El archivo es un archivo firmado válido.
- El archivo es lo suficientemente frecuente como para no ser considerado como ransomware.
La regla tiende a errar en el lado de la precaución para evitar ransomware.
Nota:
Debe habilitar la protección entregada en la nube para usar esta regla.
Intune nombre:Advanced ransomware protection
Configuration Manager nombre:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Tipo de acción de búsqueda avanzada:
AsrRansomwareAudited
AsrRansomwareBlocked
Dependencias: Microsoft Defender Antivirus, Cloud Protection
Recursos adicionales
- Introducción a la implementación de reglas de reducción de superficie expuesta a ataques
- Planeación de la implementación de reglas de reducción de superficie expuesta a ataques
- Reglas de reducción de superficie expuesta a ataques de prueba
- Habilitar las reglas de la reducción de superficie expuesta a ataques
- Operacionalización de las reglas de reducción de superficie expuesta a ataques
- Informe de reglas de reducción de superficie expuesta a ataques
- Referencia de reglas de reducción de superficie expuesta a ataques
- Exclusiones para Microsoft Defender para punto de conexión y antivirus de Microsoft Defender
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.