Evaluación de la protección contra vulnerabilidades de seguridad
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Protección contra vulnerabilidades ayuda a proteger los dispositivos del malware que usa vulnerabilidades de seguridad para propagar e infectar otros dispositivos. La mitigación se puede aplicar al sistema operativo o a una aplicación individual. Muchas de las características que formaban parte de Enhanced Mitigation Experience Toolkit (EMET) se incluyen en Protección contra vulnerabilidades. (EMET ha llegado al final del soporte técnico).
En la auditoría, puede ver cómo funciona la mitigación para determinadas aplicaciones en un entorno de prueba. Esto muestra lo que sucedería si habilita la protección contra vulnerabilidades de seguridad en el entorno de producción. De este modo, puede comprobar que Protección contra vulnerabilidades no afecta negativamente a las aplicaciones de línea de negocio y ver qué eventos sospechosos o malintencionados se producen.
Directrices genéricas
Las mitigaciones de protección contra vulnerabilidades de seguridad funcionan en un nivel bajo en el sistema operativo y algunos tipos de software que realizan operaciones similares de bajo nivel pueden tener problemas de compatibilidad cuando se configuran para protegerse mediante la protección contra vulnerabilidades de seguridad.
¿Qué tipos de software no deben protegerse mediante la protección contra vulnerabilidades de seguridad?
- Software de detección o prevención de intrusiones y antimalware
- Depuradores
- Software que controla tecnologías de administración de derechos digitales (DRM) (es decir, videojuegos)
- Software que usa tecnologías de anti-depuración, ofuscación o enlace
¿Qué tipo de aplicaciones debe considerar la posibilidad de habilitar la protección contra vulnerabilidades de seguridad?
Aplicaciones que reciben o controlan datos que no son de confianza.
¿Qué tipo de procesos están fuera del ámbito de la protección contra vulnerabilidades de seguridad?
Servicios
- Servicios del sistema
- Servicios de red
Mitigaciones de protección contra vulnerabilidades habilitadas de forma predeterminada
| Mitigación | Habilitado de forma predeterminada |
|---|---|
| Prevención de ejecución de datos (DEP) | Aplicaciones de 64 y 32 bits |
| Validar cadenas de excepción (SEHOP) | Aplicaciones de 64 bits |
| Validar la integridad del montón | Aplicaciones de 64 y 32 bits |
Mitigaciones de "Configuración del programa" en desuso
| Mitigaciones de "Configuración del programa" | Reason |
|---|---|
| Exportar filtrado de direcciones (EAF) | Problemas de compatibilidad de aplicaciones |
| Importar filtrado de direcciones (IAF) | Problemas de compatibilidad de aplicaciones |
| Simular la ejecución (SimExec) | Reemplazado por protección arbitraria de código (ACG) |
| Validar la invocación de la API (CallerCheck) | Reemplazado por protección arbitraria de código (ACG) |
| Validar la integridad de la pila (StackPivot) | Reemplazado por protección arbitraria de código (ACG) |
Procedimientos recomendados de aplicaciones de Office
En lugar de usar Protección contra vulnerabilidades de seguridad para aplicaciones de Office como Outlook, Word, Excel, PowerPoint y OneNote, considere la posibilidad de usar un enfoque más moderno para evitar su uso indebido: reglas de reducción de superficie expuesta a ataques (reglas ASR):
- Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web
- Impedir que las aplicaciones de Office creen contenido ejecutable
- Impedir que todas las aplicaciones de Office creen procesos secundarios
- Impedir que la aplicación de comunicación de Office cree procesos secundarios
- Impedir que las aplicaciones de Office inserten código en otros procesos
- Bloquear la ejecución de scripts potencialmente ofuscados
- Bloquear llamadas API de Win32 desde macros de Office
Para Adobe Reader, use la siguiente regla ASR:
• Impedir que Adobe Reader cree procesos secundarios
Lista de compatibilidad de aplicaciones
En la tabla siguiente se enumeran productos específicos que tienen problemas de compatibilidad con las mitigaciones que se incluyen en la protección contra vulnerabilidades de seguridad. Debe deshabilitar mitigaciones específicas incompatibles si desea proteger el producto mediante la protección contra vulnerabilidades de seguridad. Tenga en cuenta que esta lista tiene en cuenta la configuración predeterminada para las versiones más recientes del producto. Se pueden presentar problemas de compatibilidad al aplicar determinados complementos u otros componentes al software estándar.
| Producto | Mitigación de protección contra vulnerabilidades |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| 7-Zip Console/GUI/File Manager | EAF |
| Procesadores AMD 62xx | EAF |
| Power Broker de Avecto (más allá de la confianza) | EAF, EAF+, Stack Pivot |
| Determinados controladores de vídeo AMD (ATI) | ASLR=AlwaysOn del sistema |
| DropBox | EAF |
| Excel Power Query, Power View, Power Map y PowerPivot | EAF |
| Google Chrome | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | System DEP=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | Heapspray |
| Pitney Bowes Print Audit 6 | SimExecFlow |
| La versión de Siebel CRM es 8.1.1.9 | SEHOP |
| Skype | EAF |
| Administrador de Syslogd de SolarWinds | EAF |
| Reproductor de Windows Media | MandatoryASLR, EAF |
ǂ Las mitigaciones de EMET pueden ser incompatibles con Oracle Java cuando se ejecutan mediante la configuración que reserva un gran fragmento de memoria para la máquina virtual (es decir, mediante la opción -Xms).
Habilitación de la configuración del sistema de protección contra vulnerabilidades para pruebas
Esta configuración del sistema de Protección contra vulnerabilidades está habilitada de forma predeterminada, excepto para la aleatoriedad del diseño de espacio de direcciones obligatorio (ASLR) en Windows 10 y versiones posteriores, Windows Server 2019 y versiones posteriores, y en la edición principal de Windows Server 1803 y versiones posteriores.
| Configuración del sistema | Configuración |
|---|---|
| Protección del flujo de control (CFG) | Usar el valor predeterminado (Activado) |
| Prevención de ejecución de datos (DEP) | Usar el valor predeterminado (Activado) |
| Forzar la aleatoriedad de imágenes (ASRL obligatorio) | Usar el valor predeterminado (desactivado) |
| Aleatorizar asignaciones de memoria (ASRL ascendente) | Usar el valor predeterminado (Activado) |
| ASRL de alta entropía | Usar el valor predeterminado (Activado) |
| Validar cadenas de excepción (SEHOP) | Usar el valor predeterminado (Activado) |
El ejemplo xml está disponible a continuación
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Habilitación de la configuración del programa de protección contra vulnerabilidades para pruebas
Sugerencia
Se recomienda encarecidamente revisar el enfoque moderno para las mitigaciones de vulnerabilidades, que consiste en usar reglas de reducción de superficie expuesta a ataques (reglas ASR).
Puede establecer mitigaciones en un modo de pruebas para programas específicos mediante la aplicación Seguridad de Windows o Windows PowerShell.
Aplicación Seguridad de Windows
Abra la aplicación Seguridad de Windows. Seleccione el icono de escudo en la barra de tareas o busque Seguridad de Windows en el menú Inicio.
Seleccione el icono Control de aplicaciones y navegador (o el icono de la aplicación en la barra de menús de la izquierda) y seleccione Protección contra vulnerabilidades.
Vaya a Configuración del programa y elija la aplicación a la que quiere aplicar la protección:
Si la aplicación que desea configurar ya aparece en la lista, selecciónela y, a continuación, seleccione Editar.
Si la aplicación no aparece en la parte superior de la lista, seleccione Agregar programa para personalizar. Después, elija cómo quiere agregar la aplicación.
- Use Agregar por nombre de programa para aplicar la mitigación a cualquier proceso en ejecución con ese nombre. Especifique un archivo con una extensión. Puede escribir una ruta de acceso completa para limitar la mitigación solo a la aplicación con ese nombre en esa ubicación.
- Use Elegir la ruta de acceso exacta de un archivo para usar una ventana estándar del selector de archivos de Explorador de Windows para buscar y seleccionar el archivo que quiera.
Después de seleccionar la aplicación, verá una lista de todas las mitigaciones que se pueden aplicar. Al elegir Auditar , solo se aplica la mitigación en modo de prueba. Se le notificará si necesita reiniciar el proceso, la aplicación o Windows.
Repita este procedimiento para todas las aplicaciones y mitigaciones que quiera configurar. Seleccione Aplicar cuando haya terminado de establecer la configuración.
PowerShell
Para establecer mitigaciones de nivel de aplicación en modo de prueba, use Set-ProcessMitigation con el cmdlet Audit mode .
Configure cada mitigación en el formato siguiente:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Donde:
-
<Ámbito>:
-
-Namepara indicar que las mitigaciones se deben aplicar a una aplicación específica. Especifique el ejecutable de la aplicación después de esta marca.
-
-
<Acción>:
-
-Enablepara habilitar la mitigación-
-Disablepara deshabilitar la mitigación
-
-
-
<Mitigación>:
- Cmdlet de mitigación tal y como se define en la tabla siguiente. Cada mitigación se separa con una coma.
| Mitigación | Cmdlet del modo de prueba |
|---|---|
| Protección de código arbitrario (ACG) | AuditDynamicCode |
| Bloquear imágenes de integridad baja | AuditImageLoad |
| Bloquear fuentes que no son de confianza |
AuditFont, FontAuditOnly |
| Protección de integridad de código |
AuditMicrosoftSigned, AuditStoreSigned |
| Deshabilitar llamadas del sistema de Win32k | AuditSystemCall |
| No permitir bloqueo de procesos secundarios | AuditChildProcess |
Por ejemplo, para habilitar Arbitrary Code Guard (ACG) en modo de prueba para una aplicación denominada testing.exe, ejecute el siguiente comando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Puede deshabilitar el modo de auditoría reemplazando -Enable por -Disable.
Revisar eventos de auditoría de protección contra vulnerabilidades
Para revisar qué aplicaciones se bloquearían, abra Visor de eventos y filtre por los siguientes eventos en el registro de Security-Mitigations.
| Característica | Proveedor u origen | Id. de evento | Descripción |
|---|---|---|---|
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 1 | Auditoría de ACG |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 3 | No permitir procesos secundarios de auditoría |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 5 | Bloquear auditoría de imágenes de integridad baja |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 7 | Bloquear auditoría de imágenes remota |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 9 | Deshabilitar auditoría de llamadas del sistema de Win32k |
| Protección contra vulnerabilidades de seguridad | Mitigaciones de seguridad (modo kernel/modo de usuario) | 11 | Auditoría de protección de integridad de código |
Vea también
- Habilitar la protección contra vulnerabilidades de seguridad
- Configurar y auditar mitigaciones de protección contra vulnerabilidades de seguridad
- Importar, exportar e implementar configuraciones de protección de vulnerabilidades de seguridad
- Solución de problemas de protección contra vulnerabilidades de seguridad
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.