Habilitar reglas de reducción de la superficie expuesta a ataques

  • 17 minutos

La superficie expuesta a ataques incluye todos los lugares en los que un atacante podría poner en peligro los dispositivos o las redes de la organización. Reducir la superficie expuesta a ataques implica la protección de los dispositivos y la red de su organización, lo que deja a los atacantes con menos maneras de realizar ataques.

Las reglas de reducción de la superficie expuesta a ataques se dirigen a ciertos comportamientos de software que a menudo se usan como atacantes. Estos comportamientos incluyen:

  • Iniciar archivos ejecutables y scripts que intentan descargar o ejecutar archivos

  • Ejecutar scripts ofuscados o sospechosos

  • Realización de comportamientos que las aplicaciones no suelen iniciar durante el trabajo cotidiano normal.

Estos comportamientos de software a veces se ven en aplicaciones legítimas; pero estos comportamientos se suelen considerar arriesgados porque el malware suele usarlos. Las reglas de reducción de la superficie expuesta a ataques pueden restringir comportamientos de riesgo y ayudar a mantener la seguridad de la organización.

Cada regla de reducción de la superficie expuesta a ataques contiene uno de los cuatro valores siguientes:

  • No configurado: deshabilitar la regla de reducción de la superficie expuesta a ataques

  • Bloquear: habilitar la regla de reducción de la superficie expuesta a ataques

  • Auditoría: evalúe cómo la regla de reducción de la superficie expuesta a ataques afectaría a su organización si está habilitada

  • Advertencia: habilite la regla de reducción de superficie de ataque pero permita que el usuario final omita el bloqueo.

Reglas de reducción de la superficie expuesta a ataques

Actualmente, las reglas de reducción de la superficie de ataque admiten las siguientes reglas:

  • Bloquear contenido ejecutable del cliente de correo electrónico y el correo electrónico basado en web
  • Impedir que todas las aplicaciones de Office creen procesos secundarios
  • Impedir que las aplicaciones de Office creen contenido ejecutable
  • Impedir que las aplicaciones de Office inserten código en otros procesos
  • Impedir que JavaScript o VBScript inicien el contenido ejecutable descargado
  • Bloquear la ejecución de scripts potencialmente ofuscados
  • Impedir llamadas API de Win32 desde macros de Office
  • Usar la protección avanzada frente a ransomware
  • Marcar el robo de credenciales desde el subsistema de autoridad de seguridad local de Windows (lsass.exe)
  • Bloquear creaciones del proceso que se originan desde comandos PSExec y WMI
  • Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar
  • Bloquear la ejecución de archivos ejecutables a menos que cumplan un criterio de prevalencia, antigüedad o lista de confianza
  • Impedir que las aplicaciones de comunicación de Office creen procesos secundarios
  • Impedir que Adobe Reader cree procesos secundarios
  • Bloqueo de la persistencia a través de la suscripción de eventos WMI

Excluir archivos y carpetas de las reglas de reducción de la superficie expuesta ataques

Puede excluir archivos y carpetas de la mayor parte de las reglas de reducción de la superficie expuesta a ataques. Esto significa que incluso si una regla de reducción de la superficie expuesta a ataques determina que el archivo o la carpeta contienen un comportamiento malintencionado, no impedirá que se ejecute el archivo, lo que significa que los archivos potencialmente no seguros pueden ejecutarse e infectar los dispositivos.

Se excluyen las reglas de reducción de la superficie expuesta a ataques en función de los hashes de archivo y de certificado al permitir los indicadores de certificados y archivos de Defender para puntos de conexión específicos.

Puede especificar archivos o carpetas individuales (mediante rutas de acceso de carpeta o nombres de recursos completos), pero no puede especificar a qué reglas se aplican las exclusiones. Una exclusión solo se aplica cuando se inicia la aplicación o el servicio excluido. Por ejemplo, si agrega una exclusión para un servicio de actualización que ya se está ejecutando, el servicio de actualización seguirá desencadenando eventos hasta que el servicio se detenga y se reinicie.

Modo de auditoría para evaluación

Use el modo auditoría para evaluar cómo las reglas de reducción de la superficie a ataques afectarían a su organización si estuvieran habilitadas. Es mejor ejecutar todas las reglas en el modo auditoría primero para que pueda entender su impacto en las aplicaciones de línea de negocio. Muchas aplicaciones de línea de negocio se escriben con problemas de seguridad limitados y pueden realizar tareas de maneras similares a las de malware. Mediante la supervisión de datos de auditoría y la adición de exclusiones para las aplicaciones necesarias, puede implementar reglas de reducción de la superficie expuesta a ataques sin afectar a la productividad.

Notificaciones cuando se desencadena una regla

Cada vez que se desencadene una regla, se mostrará una notificación en el dispositivo. Puede personalizar la notificación con los detalles de la empresa y la información de contacto. La notificación también se muestra en portal de Microsoft Defender.

Configurar reglas de la reducción de la superficie expuesta a ataques

Puede establecer estas reglas para dispositivos que ejecuten cualquiera de las siguientes ediciones y versiones de Windows:

  • Windows 10 Pro, versión 1709 o posterior
  • Windows 10 Enterprise, versión 1709 o posterior
  • Windows Server, versión 1803 (canal semestral) o posterior
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

Puede habilitar las reglas de reducción de la superficie expuesta a ataques mediante cualquiera de estos métodos:

  • Microsoft Intune
  • Administración de dispositivos móviles (MDM)
  • Microsoft Endpoint Configuration Manager
  • Directiva de grupo
  • PowerShell

Se recomienda la administración de nivel empresarial, como Intune o Microsoft Endpoint Configuration Manager. La administración de nivel empresarial sobrescribirá cualquier directiva de grupo en conflicto o la configuración de PowerShell en el inicio.

Intune

Perfiles de configuración de dispositivos:

  1. Seleccione Configuración del dispositivo > Perfiles. Elija un perfil de Endpoint Protection existente o cree uno nuevo. Para crear uno nuevo, seleccione Crear perfil y escriba la información de este perfil. En Tipo de perfil, seleccione Endpoint Protection. Si ha elegido un perfil existente, seleccione Propiedades y, a continuación, seleccione Configuración.

  2. En el panel Endpoint Protection, seleccione protección contra vulnerabilidades de seguridad de Windows Defender y, a continuación, seleccione reducción de la superficie expuesta a ataques. Seleccione la configuración deseada para cada regla.

  3. En excepciones de reducción de la superficie expuesta a ataques, escriba archivos y carpetas individuales. Importe un archivo .csv que contiene archivos y carpetas que se van a excluir de las reglas de reducción de la superficie expuesta a ataques. Cada línea del archivo .csv debe tener el formato siguiente:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Seleccione Aceptar en los tres paneles de configuración. A continuación, seleccione Crear si va a crear un nuevo archivo de Endpoint Protection o guardarlo si está editando uno existente.

Directiva de seguridad del punto de conexión:

  1. Seleccione Seguridad del punto de conexión > Reducción de la superficie expuesta a ataques. Elija una regla existente o cree una nueva. Para crear una nueva, seleccione Crear directiva y escriba información para este perfil. En el tipo de perfil, seleccione Reglas de reducción de la superficie expuesta a ataques. Si ha elegido un perfil existente, seleccione Propiedades y, a continuación, seleccione Configuración.

  2. En el panel Configuración, seleccione Reducción de la superficie expuesta a ataques y, a continuación, seleccione la configuración que quiera para cada regla.

  3. En la Lista de carpetas adicionales que deben protegerse, la lista de aplicaciones que tienen acceso a carpetas protegidas y en la opción Excluir archivos y rutas de acceso de las reglas de reducción de la superficie expuesta a ataques, agregue archivos y carpetas individuales. Importe un archivo .csv que contiene archivos y carpetas que se van a excluir de las reglas de reducción de la superficie expuesta a ataques. Cada línea del archivo .csv debe tener el formato siguiente:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Seleccione Siguiente en los tres paneles de configuración y, a continuación, seleccione Crear si va a crear una nueva directiva o Guardar si está editando una directiva existente.

Administración de dispositivos móviles

Para administrar las reglas de reducción de la superficie expuesta a ataques en la administración de dispositivos móviles:

  • Use el proveedor de servicios de configuración de./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules (CSP) para habilitar y establecer de forma individual el modo para cada regla.

  • Siga la referencia de administración de dispositivos móviles en reglas de reducción de la superficie expuesta a ataques para usar valores de GUID.

  • Ruta de acceso de OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • Valor: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

  • Los valores para habilitar, deshabilitar o habilitar en modo auditoría son:

    • Deshabilitar = 0

    • Bloquear (habilitar regla de reducción de la superficie expuesta a ataques) = 1

    • Auditoría = 2

  • Use el proveedor de servicios de configuración de ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions (CSP) para agregar exclusiones.

Ejemplo:

  • Ruta de acceso de OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • Valor: c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

Para administrar las reglas de reducción de la superficie expuesta a ataques en Microsoft Endpoint Configuration Manager:

  1. En Microsoft Endpoint Configuration Manager, vaya a Activos y Cumplimiento > Endpoint Protection > Protección contra vulnerabilidades de seguridad de Windows Defender.

  2. Seleccione Inicio > Crear Directiva de protección contra vulnerabilidades.

  3. Escriba un nombre y una descripción, seleccione Reducción de la superficie expuesta a ataquesy seleccione Siguiente.

  4. Elija las reglas que bloquearán o auditarán las acciones y seleccione Siguiente.

  5. Revise la configuración y haga clic en Siguiente para crear la directiva.

  6. Una vez creada la directiva, seleccione Cerrar.

Directiva de grupo

Para administrar las reglas de reducción de la superficie expuesta a ataques en directiva de grupo:

Advertencia

Si administra los equipos y dispositivos con Intune, Configuration Manager u otra plataforma de administración de nivel empresarial, el software de administración sobrescribirá cualquier configuración de directiva de grupo en conflicto en el inicio.

  1. En el equipo de administración de directiva de grupo, abra la Consola de administración de directivas de grupo, haga clic con el botón secundario en el objeto de la directiva de grupo que desee configurar y seleccione Editar.

  2. En el Editor de administración de directivas de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.

  3. Expanda el árbol hasta Componentes de Windows > Antivirus de Microsoft Defender > Protección contra vulnerabilidades de seguridad de Windows Defender > Reducción de la superficie expuesta a ataques.

  4. Seleccione Configurar reglas de reducción de la superficie expuesta a ataques y seleccione Habilitar. Después, puede establecer el estado individual de cada regla en la sección Opciones.

  5. Seleccione Mostrar... y escriba el id de la regla en la columna Nombre de valor y el estado elegido en la columna Valor de la siguiente manera:

    Deshabilitar = Bloque 0 (habilitar regla de reducción de la superficie expuesta a ataques) = 1 Auditoría = 2

  6. Para excluir archivos y carpetas de las reglas de reducción de la superficie expuesta a ataques, seleccione la configuración Excluir archivos y rutas de acceso de las reglas de reducción de la superficie expuesta a ataques y establezca la opción en Habilitar. Seleccione Mostrar y escriba cada archivo o carpeta en la columna Nombre de valor. Escriba 0 en la columna Valor para cada elemento.

PowerShell

Para administrar las reglas de reducción de la superficie expuesta a ataques con PowerShell:

Advertencia

Si administra los equipos y dispositivos con Intune, Configuration Manager u otra plataforma de administración de nivel empresarial, el software de administración sobrescribirá cualquier configuración de PowerShell en conflicto en el inicio. Para permitir que los usuarios definan el valor mediante PowerShell, use la opción "Definido por el usuario" para la regla en la plataforma de administración.

  1. Escriba PowerShell en el menú Inicio, haga clic con el botón secundario en Windows PowerShell y seleccione Ejecutar como administrador.

  2. Escriba el cmdlet siguiente:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. Para habilitar las reglas de reducción de la superficie expuesta a ataques en modo auditoría, use el siguiente cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. Para deshabilitar las reglas de reducción de la superficie expuesta a ataques, use el siguiente cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. Debe especificar el estado individualmente para cada regla, pero puede combinar reglas y estados en una lista separada por comas.

  6. En el ejemplo siguiente, se habilitarán las dos primeras reglas, se deshabilitará la tercera regla y la cuarta regla se habilitará en modo de auditoría:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. También puede usar el verbo Add-MpPreference PowerShell para agregar nuevas reglas a la lista existente.

  8. Set-MpPreference siempre sobrescribirá el conjunto de reglas existente. Si desea agregar al conjunto existente, debe usar Add-MpPreference en su lugar. Puede obtener una lista de reglas y su estado actual mediante Get-MpPreference.

  9. Para excluir archivos y carpetas de las reglas de reducción de la superficie expuesta a ataques, use el siguiente cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. Siga usando Add-MpPreference-AttackSurfaceReductionOnlyExclusions para agregar más archivos y carpetas a la lista.

Importante

Use Add-MpPreference para anexar o agregar aplicaciones a la lista. Al usar el cmdlet Set-MpPreference se sobrescribirá la lista existente.

Lista de eventos de reducción de la superficie expuesta a ataques

Todos los eventos de reducción de la superficie expuesta a ataques se encuentran en registros de Aplicaciones y Servicios > Microsoft > Windows en la Vista de eventos de Windows.