Compartir a través de


Referencia de reglas de reducción de superficie expuesta a ataques

Se aplica a:

Plataformas:

  • Windows

En este artículo se proporciona información sobre Microsoft Defender para punto de conexión reglas de reducción de superficie expuesta a ataques (reglas ASR):

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Sugerencia

Como complemento a este artículo, consulte nuestra guía de configuración de Microsoft Defender para punto de conexión para revisar los procedimientos recomendados y obtener información sobre herramientas esenciales, como la reducción de la superficie expuesta a ataques y la protección de próxima generación. Para obtener una experiencia personalizada basada en su entorno, puede acceder a la guía de configuración automatizada de Defender para punto de conexión en el Centro de administración de Microsoft 365.

Reglas de reducción de superficie expuesta a ataques por tipo

Las reglas de reducción de superficie expuesta a ataques se clasifican como uno de dos tipos:

  • Standard reglas de protección: son el conjunto mínimo de reglas que Microsoft recomienda habilitar siempre, mientras evalúa el efecto y las necesidades de configuración de las otras reglas de ASR. Estas reglas suelen tener un impacto mínimo o no perceptible en el usuario final.

  • Otras reglas: reglas que requieren cierta medida de seguir los pasos de implementación documentados [Planear > prueba (auditoría) > Habilitar (modos de bloqueo/advertencia)], como se documenta en la guía de implementación de reglas de reducción de superficie expuesta a ataques

Para obtener el método más sencillo para habilitar las reglas de protección estándar, consulte: Opción de protección estándar simplificada.

Nombre de regla de ASR: Standard regla de protección? ¿Otra regla?
Bloquear el abuso de controladores firmados vulnerables explotados Yes
Impedir que Adobe Reader cree procesos secundarios Yes
Impedir que todas las aplicaciones de Office creen procesos secundarios Yes
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe) Yes
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web Yes
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza Yes
Bloquear la ejecución de scripts potencialmente ofuscados Yes
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado Yes
Impedir que las aplicaciones de Office creen contenido ejecutable Yes
Impedir que las aplicaciones de Office inserten código en otros procesos Yes
Impedir que la aplicación de comunicación de Office cree procesos secundarios Yes
Bloquear la persistencia a través de la suscripción de eventos WMI Yes
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI Yes
Bloquear el reinicio de la máquina en modo seguro (versión preliminar) Yes
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB Yes
Bloquear el uso de herramientas del sistema copiadas o suplantadas (versión preliminar) Yes
Bloquear la creación de WebShell para servidores Yes
Bloquear llamadas API de Win32 desde macros de Office Yes
Uso de protección avanzada contra ransomware Yes

Microsoft Defender exclusiones de Antivirus y reglas de ASR

Microsoft Defender las exclusiones de Antivirus se aplican a algunas funcionalidades de Microsoft Defender para punto de conexión, como algunas de las reglas de reducción de superficie expuesta a ataques.

Las siguientes reglas de ASR NO respetan las exclusiones de antivirus de Microsoft Defender:

Nombre de reglas de ASR:
Impedir que Adobe Reader cree procesos secundarios
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)
Impedir que las aplicaciones de Office creen contenido ejecutable
Impedir que las aplicaciones de Office inserten código en otros procesos
Impedir que la aplicación de comunicación de Office cree procesos secundarios

Nota:

Para obtener información sobre cómo configurar exclusiones por regla, vea la sección titulada Configurar exclusiones de reglas ASR por regla en el tema Reglas de reducción de superficie expuesta a ataques de prueba.

Reglas de ASR e indicadores de compromiso de Defender para punto de conexión (IOC)

Las siguientes reglas de ASR NO respetan Microsoft Defender para punto de conexión indicadores de compromiso (IOC):

Nombre de regla de ASR Descripción
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe) No respeta los indicadores de riesgo de los archivos o certificados.
Impedir que las aplicaciones de Office inserten código en otros procesos No respeta los indicadores de riesgo de los archivos o certificados.
Bloquear llamadas API de Win32 desde macros de Office No respeta los indicadores de riesgo de los certificados.

Sistemas operativos compatibles con las reglas de ASR

En la tabla siguiente se enumeran los sistemas operativos admitidos para las reglas que se publican actualmente para la disponibilidad general. Las reglas aparecen en orden alfabético en esta tabla.

Nota:

A menos que se indique lo contrario, la compilación mínima de Windows10 es la versión 1709 (RS3, compilación 16299) o posterior; la compilación mínima de Windows Server es la versión 1809 o posterior. Las reglas de reducción de superficie expuesta a ataques en Windows Server 2012 R2 y Windows Server 2016 están disponibles para los dispositivos incorporados mediante el paquete de soluciones unificadas moderno. Para obtener más información, vea Nueva funcionalidad de Windows Server 2012 R2 y 2016 en la solución unificada moderna.

Nombre de regla Windows 11
y
Windows 10
Windows Server 2022
y
Windows Server 2019
Windows Server Windows Server 2016 [1, 2] Windows Server
2012 R2 [1, 2]
Bloquear el abuso de controladores firmados vulnerables explotados v v v
versión 1803 (Canal empresarial semestral) o posterior
v v
Impedir que Adobe Reader cree procesos secundarios Y
versión 1809 o posterior [3]
v v v v
Impedir que todas las aplicaciones de Office creen procesos secundarios v v v v v
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe) Y
versión 1803 o posterior [3]
v v v v
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web v v v v v
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza Y
versión 1803 o posterior [3]
v v v v
Bloquear la ejecución de scripts potencialmente ofuscados v v v v v
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado v v v N N
Impedir que las aplicaciones de Office creen contenido ejecutable v v v v v
Impedir que las aplicaciones de Office inserten código en otros procesos v v v v v
Impedir que la aplicación de comunicación de Office cree procesos secundarios v v v v v
Bloquear la persistencia a través de la suscripción de eventos de Instrumental de administración de Windows (WMI) Y
versión 1903 (compilación 18362) o posterior [3]
v v
versión 1903 (compilación 18362) o posterior
N N
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI Y
versión 1803 o posterior [3]
v v v v
Bloquear el reinicio de la máquina en modo seguro (versión preliminar) v v v v v
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB v v v v v
Bloquear el uso de herramientas del sistema copiadas o suplantadas (versión preliminar) v v v v v
Bloquear la creación de WebShell para servidores N v
Solo rol de Exchange
Y
Solo rol de Exchange
Y
Solo rol de Exchange
Y
Solo rol de Exchange
Bloquear llamadas API de Win32 desde macros de Office v N N N N
Uso de protección avanzada contra ransomware Y
versión 1803 o posterior [3]
v v v v

(1) Hace referencia a la solución unificada moderna para Windows Server 2012 y 2016. Para obtener más información, vea Incorporación de servidores Windows al servicio Defender para punto de conexión.

(2) Para Windows Server 2016 y Windows Server 2012 R2, la versión mínima necesaria de Microsoft Endpoint Configuration Manager es la versión 2111.

(3) La versión y el número de compilación solo se aplican a Windows10.

Las reglas de ASR admiten sistemas de administración de configuración

Debajo de esta tabla se enumeran vínculos a información sobre las versiones del sistema de administración de configuración a las que se hace referencia en esta tabla.

Nombre de regla Microsoft Intune Microsoft Endpoint Configuration Manager directiva de grupo[1] PowerShell[1]
Bloquear el abuso de controladores firmados vulnerables explotados v v v
Impedir que Adobe Reader cree procesos secundarios v v v
Impedir que todas las aplicaciones de Office creen procesos secundarios v v

CB 1710
v v
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe) v v

CB 1802
v v
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web v v

CB 1710
v v
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza v v

CB 1802
v v
Bloquear la ejecución de scripts potencialmente ofuscados v v

CB 1710
v v
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado v v

CB 1710
v v
Impedir que las aplicaciones de Office creen contenido ejecutable v v

CB 1710
v v
Impedir que las aplicaciones de Office inserten código en otros procesos v v

CB 1710
v v
Impedir que la aplicación de comunicación de Office cree procesos secundarios v v

CB 1710
v v
Bloquear la persistencia a través de la suscripción de eventos WMI v v v
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI v v v
Bloquear el reinicio de la máquina en modo seguro (versión preliminar) v v v
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB v v

CB 1802
v v
Bloquear el uso de herramientas del sistema copiadas o suplantadas (versión preliminar) v v v
Bloquear la creación de WebShell para servidores v v v
Bloquear llamadas API de Win32 desde macros de Office v v

CB 1710
v v
Uso de protección avanzada contra ransomware v v

CB 1802
v v

(1) Puede configurar reglas de reducción de superficie expuesta a ataques por regla mediante el GUID de cualquier regla.

Por detalles de alerta de regla y notificación de ASR

Las notificaciones del sistema se generan para todas las reglas en modo de bloque. Las reglas de cualquier otro modo no generan notificaciones del sistema.

Para las reglas con el "estado de regla" especificado:

  • Las reglas de ASR con \ASR Rule, Rule State\ combinaciones se usan para exponer alertas (notificaciones del sistema) en Microsoft Defender para punto de conexión solo para dispositivos en el nivel de bloque en la nube "Alto".
  • Los dispositivos que no están en el nivel de bloque de nube alta no generan alertas para ninguna ASR Rule, Rule State combinación
  • Las alertas de EDR se generan para las reglas de ASR en los estados especificados, para los dispositivos en el nivel de bloque en la nube "High+"
  • Las notificaciones del sistema solo se producen en modo de bloque y para dispositivos en el nivel de bloque en la nube "Alto"
Nombre de regla Estado de regla Alertas de EDR Notificaciones del sistema
Bloquear el abuso de controladores firmados vulnerables explotados N v
Impedir que Adobe Reader cree procesos secundarios Bloquear v v
Impedir que todas las aplicaciones de Office creen procesos secundarios N v
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe) N N
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web v v
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza N v
Bloquear la ejecución de scripts potencialmente ofuscados Auditoría o bloque Y (en modo de bloque)
N (en modo de auditoría)
Y (en modo de bloque)
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado Bloquear v v
Impedir que las aplicaciones de Office creen contenido ejecutable N v
Impedir que las aplicaciones de Office inserten código en otros procesos N v
Impedir que la aplicación de comunicación de Office cree procesos secundarios N v
Bloquear la persistencia a través de la suscripción de eventos WMI Auditoría o bloque Y (en modo de bloque)
N (en modo de auditoría)
Y (en modo de bloque)
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI N v
Bloquear el reinicio de la máquina en modo seguro (versión preliminar) N N
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB Auditoría o bloque Y (en modo de bloque)
N (en modo de auditoría)
Y (en modo de bloque)
Bloquear el uso de herramientas del sistema copiadas o suplantadas (versión preliminar) N N
Bloquear la creación de WebShell para servidores N N
Bloquear llamadas API de Win32 desde macros de Office N v
Uso de protección avanzada contra ransomware Auditoría o bloque Y (en modo de bloque)
N (en modo de auditoría)
Y (en modo de bloque)

Regla ASR a matriz GUID

Nombre de la regla GUID de regla
Bloquear el abuso de controladores firmados vulnerables explotados 56a863a9-875e-4185-98a7-b882c64b5ce5
Impedir que Adobe Reader cree procesos secundarios 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Impedir que todas las aplicaciones de Office creen procesos secundarios d4f940ab-401b-4efc-aadc-ad5f3c50688a
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza 01443614-cd74-433a-b99e-2ecdc07bfc25
Bloquear la ejecución de scripts potencialmente ofuscados 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado d3e037e1-3eb8-44c8-a917-57927947596d
Impedir que las aplicaciones de Office creen contenido ejecutable 3b576869-a4ec-4529-8536-b80a7769e899
Impedir que las aplicaciones de Office inserten código en otros procesos 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Impedir que la aplicación de comunicación de Office cree procesos secundarios 26190899-1602-49e8-8b27-eb1d0a1ce869
Bloquear la persistencia a través de la suscripción de eventos WMI
* No se admiten las exclusiones de archivos y carpetas.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Bloquear el reinicio de la máquina en modo seguro (versión preliminar) 33ddedf1-c6e0-47cb-833e-de6133960387
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Bloquear el uso de herramientas del sistema copiadas o suplantadas (versión preliminar) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Bloquear la creación de WebShell para servidores a8f5898e-1dc8-49a9-9878-85004b8a61e6
Bloquear llamadas API de Win32 desde macros de Office 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Uso de protección avanzada contra ransomware c1db55ab-c21a-4637-bb3f-a12568109d35

Modos de regla de ASR

  • Sin configurar o Deshabilitar: estado en el que la regla ASR no está habilitada o deshabilitada. Código para este estado = 0.
  • Bloquear: el estado en el que está habilitada la regla ASR. El código de este estado es 1.
  • Auditoría: el estado en el que se evalúa la regla ASR para el efecto que tendría en la organización o entorno si está habilitada (se establece para bloquear o advertir). El código de este estado es 2.
  • Advertir Estado en el que está habilitada la regla ASR y presenta una notificación al usuario final, pero permite al usuario final omitir el bloque. El código de este estado es 6.

El modo de advertencia es un tipo de modo de bloque que alerta a los usuarios sobre acciones potencialmente de riesgo. Los usuarios pueden optar por omitir el mensaje de advertencia de bloque y permitir la acción subyacente. Los usuarios pueden seleccionar Aceptar para aplicar el bloque o seleccionar la opción de omisión ( Desbloquear ) a través de la notificación del sistema emergente del usuario final que se genera en el momento del bloqueo. Una vez desbloqueada la advertencia, la operación se permite hasta la próxima vez que se produce el mensaje de advertencia, momento en el que el usuario final tendrá que volver a ejecutar la acción.

Cuando se hace clic en el botón permitir, el bloque se suprime durante 24 horas. Después de 24 horas, el usuario final tendrá que volver a permitir el bloque. El modo de advertencia para las reglas ASR solo se admite para dispositivos RS5+ (1809+). Si la omisión se asigna a reglas ASR en dispositivos con versiones anteriores, la regla está en modo bloqueado.

También puede establecer una regla en modo de advertencia a través de PowerShell especificando como AttackSurfaceReductionRules_Actions "Advertir". Por ejemplo:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Descripciones por regla

Bloquear el abuso de controladores firmados vulnerables explotados

Esta regla impide que una aplicación escriba un controlador firmado vulnerable en el disco. Las aplicaciones locales que tienen privilegios suficientes pueden aprovechar los controladores firmados vulnerables y vulnerables para obtener acceso al kernel. Los controladores firmados vulnerables permiten a los atacantes deshabilitar o eludir las soluciones de seguridad, lo que finalmente conduce a un riesgo para el sistema.

La regla Bloquear abuso de controladores firmados vulnerables vulnerables no impide que se cargue un controlador que ya existe en el sistema.

Nota:

Puede configurar esta regla mediante Intune OMA-URI. Consulte Intune OMA-URI para configurar reglas personalizadas. También puede configurar esta regla mediante PowerShell. Para que se examine un controlador, use este sitio web para enviar un controlador para su análisis.

nombre de Intune:Block abuse of exploited vulnerable signed drivers

Configuration Manager nombre: todavía no disponible

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Tipo de acción de búsqueda avanzada:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Impedir que Adobe Reader cree procesos secundarios

Esta regla evita ataques al impedir que Adobe Reader cree procesos.

El malware puede descargar e iniciar cargas útiles y salir de Adobe Reader a través de ingeniería social o vulnerabilidades de seguridad. Al impedir que Adobe Reader genere procesos secundarios, no se puede propagar el malware que intenta usar Adobe Reader como vector de ataque.

Intune nombre:Process creation from Adobe Reader (beta)

Configuration Manager nombre: todavía no disponible

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Tipo de acción de búsqueda avanzada:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Dependencias: antivirus de Microsoft Defender

Impedir que todas las aplicaciones de Office creen procesos secundarios

Esta regla impide que las aplicaciones de Office creen procesos secundarios. Las aplicaciones de Office incluyen Word, Excel, PowerPoint, OneNote y Access.

La creación de procesos secundarios malintencionados es una estrategia de malware común. El malware que abusa de Office como vector a menudo ejecuta macros de VBA y aprovecha el código para descargar e intentar ejecutar más cargas. Sin embargo, algunas aplicaciones de línea de negocio legítimas también pueden generar procesos secundarios con fines benignos; como generar un símbolo del sistema o usar PowerShell para configurar la configuración del Registro.

Intune nombre:Office apps launching child processes

Configuration Manager nombre:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Tipo de acción de búsqueda avanzada:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Dependencias: antivirus de Microsoft Defender

Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows

Nota:

Si tiene habilitada la protección de LSA y Credential Guard habilitada, esta regla de reducción de la superficie expuesta a ataques no es necesaria.

Esta regla ayuda a evitar el robo de credenciales mediante el bloqueo del servicio de subsistema de autoridad de seguridad local (LSASS).

LSASS autentica a los usuarios que inician sesión en un equipo Windows. Microsoft Defender Credential Guard en Windows normalmente impide los intentos de extraer credenciales de LSASS. Algunas organizaciones no pueden habilitar Credential Guard en todos sus equipos debido a problemas de compatibilidad con controladores de tarjeta inteligente personalizados u otros programas que se cargan en la autoridad de seguridad local (LSA). En estos casos, los atacantes pueden usar herramientas como Mimikatz para extraer contraseñas de texto no cifrado y hashES NTLM de LSASS.

De forma predeterminada, el estado de esta regla se establece en block. En la mayoría de los casos, muchos procesos realizan llamadas a LSASS para obtener derechos de acceso que no son necesarios. Por ejemplo, por ejemplo, cuando el bloque inicial de la regla ASR da como resultado una llamada posterior para un privilegio menor que posteriormente se realiza correctamente. Para obtener información sobre los tipos de derechos que normalmente se solicitan en las llamadas de proceso a LSASS, vea: Seguridad de procesos y derechos de acceso.

La habilitación de esta regla no proporciona protección adicional si tiene habilitada la protección de LSA, ya que la regla asr y la protección de LSA funcionan de forma similar. Sin embargo, cuando no se puede habilitar la protección de LSA, esta regla se puede configurar para proporcionar una protección equivalente contra el malware que tiene como destino lsass.exe.

Sugerencia

  1. Los eventos de auditoría de ASR no generan notificaciones del sistema. Sin embargo, dado que la regla de ASR de LSASS genera un gran volumen de eventos de auditoría, casi todos los cuales son seguros de omitir cuando la regla está habilitada en modo de bloque, puede optar por omitir la evaluación del modo de auditoría y continuar con la implementación en modo de bloque, empezando por un pequeño conjunto de dispositivos y expandiéndose gradualmente para cubrir el resto.
  2. La regla está diseñada para suprimir informes o notificaciones del sistema de bloques para procesos descriptivos. También está diseñado para quitar informes de bloques duplicados. Por lo tanto, la regla es adecuada para habilitarse en modo de bloque, independientemente de si las notificaciones del sistema están habilitadas o deshabilitadas. 
  3. ASR en modo de advertencia está diseñado para presentar a los usuarios una notificación del sistema de bloqueo que incluye un botón "Desbloquear". Debido a la naturaleza "segura de omitir" de los bloques ASR de LSASS y su gran volumen, el modo WARN no es aconsejable para esta regla (independientemente de si las notificaciones del sistema están habilitadas o deshabilitadas).

Nota:

En este escenario, la regla de ASR se clasifica como "no aplicable" en la configuración de Defender para punto de conexión en el portal de Microsoft Defender. La regla ASR Bloquear robo de credenciales del subsistema de autoridad de seguridad local de Windows no admite el modo WARN. En algunas aplicaciones, el código enumera todos los procesos en ejecución e intenta abrirlos con permisos exhaustivos. Esta regla deniega la acción de apertura del proceso de la aplicación y registra los detalles en el registro de eventos de seguridad. Esta regla puede generar mucho ruido. Si tiene una aplicación que simplemente enumera LSASS, pero no tiene ningún impacto real en la funcionalidad, no es necesario agregarla a la lista de exclusión. Por sí sola, esta entrada del registro de eventos no indica necesariamente una amenaza malintencionada.

Intune nombre:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager nombre:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Tipo de acción de búsqueda avanzada:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Dependencias: antivirus de Microsoft Defender

Problemas conocidos: estas aplicaciones y la regla "Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows" son incompatibles:

Nombre de la aplicación Para obtener información
Sincronización de contraseñas de Dirsync de Quest Dirsync Password Sync no funciona cuando está instalado Windows Defender, error: "Error de VirtualAllocEx: 5" (4253914)

Para obtener soporte técnico, póngase en contacto con el proveedor de software.

Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web

Esta regla impide que el correo electrónico abierto dentro de la aplicación Microsoft Outlook o Outlook.com y otros proveedores de correo web populares propaguen los siguientes tipos de archivo:

  • Archivos ejecutables (como .exe, .dll o .scr)
  • Archivos de script (como un .ps1 de PowerShell, visual Basic .vbs o un archivo de .js de JavaScript)

Intune nombre:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager nombre:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Tipo de acción de búsqueda avanzada:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Dependencias: antivirus de Microsoft Defender

Nota:

La regla Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web tiene las siguientes descripciones alternativas, en función de la aplicación que use:

  • Intune (perfiles de configuración): la ejecución del contenido ejecutable (exe, dll, ps, js, vbs, etc.) se ha eliminado del correo electrónico (cliente de correo web/correo) (sin excepciones).
  • Configuration Manager: Bloquear la descarga de contenido ejecutable de clientes de correo electrónico y correo web.
  • directiva de grupo: Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web.

Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza

Esta regla impide que se inicien archivos ejecutables, como .exe, .dll o .scr. Por lo tanto, iniciar archivos ejecutables desconocidos o que no son de confianza puede ser arriesgado, ya que es posible que no esté claro inicialmente si los archivos son malintencionados.

Importante

Debe habilitar la protección entregada en la nube para usar esta regla. La regla Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza con GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 es propiedad de Microsoft y no lo especifican los administradores. Esta regla usa la protección entregada en la nube para actualizar su lista de confianza con regularidad. Puede especificar archivos o carpetas individuales (mediante rutas de acceso de carpeta o nombres de recursos completos), pero no puede especificar a qué reglas o exclusiones se aplican.

Intune nombre:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager nombre:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Tipo de acción de búsqueda avanzada:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Dependencias: Microsoft Defender Antivirus, Cloud Protection

Bloquear la ejecución de scripts potencialmente ofuscados

Esta regla detecta propiedades sospechosas dentro de un script ofuscado.

Nota:

Ahora se admiten scripts de PowerShell para la regla "Bloquear la ejecución de scripts potencialmente ofuscados".

Importante

Debe habilitar la protección entregada en la nube para usar esta regla.

La ofuscación de scripts es una técnica común que usan los autores de malware y las aplicaciones legítimas para ocultar la propiedad intelectual o reducir los tiempos de carga de scripts. Los autores de malware también usan ofuscación para dificultar la lectura de código malintencionado, lo que dificulta el examen de cerca por parte de los humanos y el software de seguridad.

Intune nombre:Obfuscated js/vbs/ps/macro code

Configuration Manager nombre:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Tipo de acción de búsqueda avanzada:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Dependencias: Microsoft Defender Antivirus, Interfaz de examen antimalware (AMSI)

Impedir que JavaScript o VBScript inicien contenido ejecutable descargado

Esta regla impide que los scripts inicien contenido descargado potencialmente malintencionado. El malware escrito en JavaScript o VBScript a menudo actúa como descargador para capturar e iniciar otro malware desde Internet. Aunque no es común, las aplicaciones de línea de negocio a veces usan scripts para descargar e iniciar instaladores.

Intune nombre:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager nombre:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Tipo de acción de búsqueda avanzada:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Dependencias: Microsoft Defender Antivirus, AMSI

Impedir que las aplicaciones de Office creen contenido ejecutable

Esta regla impide que las aplicaciones de Office, incluidos Word, Excel y PowerPoint, creen contenido ejecutable potencialmente malintencionado, bloqueando la escritura de código malintencionado en el disco. El malware que abusa de Office como vector podría intentar salir de Office y guardar componentes malintencionados en el disco. Estos componentes malintencionados sobrevivirían a un reinicio del equipo y persistirían en el sistema. Por lo tanto, esta regla se defiende frente a una técnica de persistencia común. Esta regla también bloquea la ejecución de archivos que no son de confianza que pueden haberse guardado mediante macros de Office que pueden ejecutarse en archivos de Office.

Intune nombre:Office apps/macros creating executable content

Configuration Manager nombre:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Tipo de acción de búsqueda avanzada:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Dependencias: Microsoft Defender Antivirus, RPC

Impedir que las aplicaciones de Office inserten código en otros procesos

Esta regla bloquea los intentos de inyección de código de aplicaciones de Office en otros procesos.

Nota:

La regla Bloquear que las aplicaciones no inserten código en otros procesos asr no admite el modo WARN.

Importante

Esta regla requiere reiniciar Aplicaciones Microsoft 365 (aplicaciones de Office) para que los cambios de configuración surtan efecto.

Los atacantes pueden intentar usar aplicaciones de Office para migrar código malintencionado a otros procesos mediante la inyección de código, de modo que el código pueda enmascararse como un proceso limpio. No hay ningún propósito comercial legítimo conocido para usar la inyección de código.

Esta regla se aplica a Word, Excel, OneNote y PowerPoint.

Intune nombre:Office apps injecting code into other processes (no exceptions)

Configuration Manager nombre:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Tipo de acción de búsqueda avanzada:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Dependencias: antivirus de Microsoft Defender

Problemas conocidos: estas aplicaciones y la regla "Impedir que las aplicaciones de Office inserten código en otros procesos", son incompatibles:

Nombre de la aplicación Para obtener información
Protección de privilegios de Avecto (BeyondTrust) Septiembre de 2024 (Plataforma: 4.18.24090.11 | Motor 1.1.24090.11).
Seguridad de Heimdal No aplicable

Para obtener soporte técnico, póngase en contacto con el proveedor de software.

Impedir que la aplicación de comunicación de Office cree procesos secundarios

Esta regla impide que Outlook cree procesos secundarios, a la vez que permite funciones legítimas de Outlook. Esta regla protege contra ataques de ingeniería social e impide que el código de explotación abuse de vulnerabilidades en Outlook. También protege contra las vulnerabilidades de seguridad de formularios y reglas de Outlook que los atacantes pueden usar cuando las credenciales de un usuario están en peligro.

Nota:

Esta regla bloquea las sugerencias de directiva DLP y las información sobre herramientas en Outlook. Esta regla solo se aplica a Outlook y Outlook.com.

Intune nombre:Process creation from Office communication products (beta)

nombre de Configuration Manager: No disponible

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Tipo de acción de búsqueda avanzada:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Dependencias: antivirus de Microsoft Defender

Bloquear la persistencia a través de la suscripción de eventos WMI

Esta regla impide que el malware abuse de WMI para lograr persistencia en un dispositivo.

Importante

Las exclusiones de archivos y carpetas no se aplican a esta regla de reducción de superficie expuesta a ataques.

Las amenazas sin archivo emplean varias tácticas para permanecer ocultas, evitar ser detectadas en el sistema de archivos y obtener el control de la ejecución periódica. Algunas amenazas pueden abusar del repositorio WMI y el modelo de eventos para permanecer ocultas.

Nota:

Si CcmExec.exe se detecta (SCCM Agente) en el dispositivo, la regla de ASR se clasifica como "no aplicable" en la configuración de Defender para punto de conexión en el portal de Microsoft Defender.

Intune nombre:Persistence through WMI event subscription

nombre de Configuration Manager: No disponible

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Tipo de acción de búsqueda avanzada:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Dependencias: Microsoft Defender Antivirus, RPC

Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI

Esta regla impide que se ejecuten los procesos creados a través de PsExec y WMI . PsExec y WMI pueden ejecutar código de forma remota. Existe el riesgo de que el malware abuse de la funcionalidad de PsExec y WMI con fines de comando y control, o de propagar una infección a través de la red de una organización.

Advertencia

Use esta regla solo si va a administrar los dispositivos con Intune u otra solución MDM. Esta regla no es compatible con la administración a través del punto de conexión de Microsoft Configuration Manager porque esta regla bloquea los comandos WMI que el cliente Configuration Manager usa para funcionar correctamente.

Intune nombre:Process creation from PSExec and WMI commands

nombre de Configuration Manager: no aplicable

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Tipo de acción de búsqueda avanzada:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Dependencias: antivirus de Microsoft Defender

Bloquear el reinicio de la máquina en modo seguro (versión preliminar)

Esta regla impide la ejecución de comandos para reiniciar máquinas en modo seguro. El modo seguro es un modo de diagnóstico que solo carga los archivos y controladores esenciales necesarios para que Windows se ejecute. Sin embargo, en el modo seguro, muchos productos de seguridad están deshabilitados o funcionan con una capacidad limitada, lo que permite a los atacantes iniciar aún más comandos de manipulación, o simplemente ejecutar y cifrar todos los archivos de la máquina. Esta regla bloquea estos ataques evitando que los procesos reinicien máquinas en modo seguro.

Nota:

Esta funcionalidad está actualmente en versión preliminar. Se están desarrollando actualizaciones adicionales para mejorar la eficacia.

nombre de Intune:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager nombre: todavía no disponible

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Tipo de acción de búsqueda avanzada:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

Dependencias: antivirus de Microsoft Defender

Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB

Con esta regla, los administradores pueden evitar que los archivos ejecutables no firmados o que no son de confianza se ejecuten desde unidades extraíbles USB, incluidas las tarjetas SD. Los tipos de archivo bloqueados incluyen archivos ejecutables (como .exe, .dll o .scr)

Importante

Esta regla bloqueará los archivos copiados desde el USB a la unidad de disco si y cuándo se van a ejecutar en la unidad de disco.

Intune nombre:Untrusted and unsigned processes that run from USB

Configuration Manager nombre:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Tipo de acción de búsqueda avanzada:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Dependencias: antivirus de Microsoft Defender

Bloquear el uso de herramientas del sistema copiadas o suplantadas (versión preliminar)

Esta regla bloquea el uso de archivos ejecutables que se identifican como copias de las herramientas del sistema de Windows. Estos archivos son duplicados o impostores de las herramientas del sistema originales. Algunos programas malintencionados pueden intentar copiar o suplantar las herramientas del sistema de Windows para evitar la detección o obtener privilegios. Permitir estos archivos ejecutables puede provocar posibles ataques. Esta regla impide la propagación y ejecución de estos duplicados e impostores de las herramientas del sistema en máquinas Windows.

Nota:

Esta funcionalidad está actualmente en versión preliminar. Se están desarrollando actualizaciones adicionales para mejorar la eficacia.

nombre de Intune:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager nombre: todavía no disponible

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Tipo de acción de búsqueda avanzada:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Dependencias: antivirus de Microsoft Defender

Bloquear la creación de WebShell para servidores

Esta regla bloquea la creación de scripts de shell web en Microsoft Server, rol de Exchange. Un script de shell web es un script específicamente diseñado que permite a un atacante controlar el servidor en peligro. Un shell web puede incluir funcionalidades como recibir y ejecutar comandos malintencionados, descargar y ejecutar archivos malintencionados, robar y filtrar credenciales e información confidencial, identificar posibles destinos, etc.

Intune nombre:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Dependencias: antivirus de Microsoft Defender

Bloquear llamadas API de Win32 desde macros de Office

Esta regla impide que las macros de VBA llamen a las API de Win32. VBA de Office habilita las llamadas API de Win32. El malware puede abusar de esta funcionalidad, como llamar a las API win32 para iniciar código de shell malintencionado sin escribir nada directamente en el disco. La mayoría de las organizaciones no se basan en la capacidad de llamar a las API win32 en su funcionamiento diario, incluso si usan macros de otras maneras.

Intune nombre:Win32 imports from Office macro code

Configuration Manager nombre:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Tipo de acción de búsqueda avanzada:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Dependencias: Microsoft Defender Antivirus, AMSI

Uso de protección avanzada contra ransomware

Esta regla proporciona una capa adicional de protección contra ransomware. Usa heurística de cliente y nube para determinar si un archivo es similar a un ransomware. Esta regla no bloquea los archivos que tienen una o varias de las características siguientes:

  • Ya se ha detectado que el archivo no está en la nube de Microsoft.
  • El archivo es un archivo firmado válido.
  • El archivo es lo suficientemente frecuente como para no ser considerado como ransomware.

La regla tiende a errar en el lado de la precaución para evitar ransomware.

Nota:

Debe habilitar la protección entregada en la nube para usar esta regla.

Intune nombre:Advanced ransomware protection

Configuration Manager nombre:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Tipo de acción de búsqueda avanzada:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Dependencias: Microsoft Defender Antivirus, Cloud Protection

Recursos adicionales

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.