Compartir a través de


Proteger los dispositivos contra vulnerabilidades de seguridad

Se aplica a:

La protección contra vulnerabilidades aplica automáticamente muchas técnicas de mitigación de vulnerabilidades a los procesos y aplicaciones del sistema operativo. La protección contra vulnerabilidades se admite a partir de Windows 10, versión 1709, Windows 11 y Windows Server, versión 1803.

La protección contra vulnerabilidades de seguridad funciona mejor con Defender para punto de conexión, que proporciona informes detallados sobre eventos y bloques de protección contra vulnerabilidades como parte de los escenarios habituales de investigación de alertas.

Puede habilitar la protección contra vulnerabilidades de seguridad en un dispositivo individual y, a continuación, usar la directiva de grupo para distribuir el archivo XML a varios dispositivos a la vez.

Cuando se encuentra una mitigación en el dispositivo, se muestra una notificación desde el Centro de acciones. Puede personalizar la notificación con los detalles de la empresa y la información de contacto. También puede habilitar las reglas individualmente para personalizar las técnicas que supervisan las características.

También puede usar el modo de auditoría para evaluar cómo afectaría la protección contra vulnerabilidades de seguridad a su organización si estuviera habilitada.

Muchas de las características de Enhanced Mitigation Experience Toolkit (EMET) se incluyen en la protección contra vulnerabilidades de seguridad. De hecho, puede convertir e importar los perfiles de configuración de EMET existentes en la protección contra vulnerabilidades de seguridad. Para más información, consulte Importar, exportar e implementar configuraciones de protección de vulnerabilidades de seguridad.

Importante

Si usa actualmente EMET, debe tener en cuenta que EMET llegó a su finalización del soporte el 31 de julio de 2018. Plantéese reemplazar EMET por la protección contra vulnerabilidades de seguridad en Windows 10.

Advertencia

Algunas tecnologías de mitigación de seguridad pueden tener problemas de compatibilidad con algunas aplicaciones. Debe probar la protección contra vulnerabilidades de seguridad en todos los escenarios de uso de destino con el modo auditoría antes de implementar la configuración en un entorno de producción o en el resto de la red.

Revisión de eventos de protección contra vulnerabilidades en el portal de Microsoft Defender

Defender para punto de conexión proporciona informes detallados sobre eventos y bloques como parte de sus escenarios de investigación de alertas.

Puede usar la Búsqueda avanzada de amenazas para consultar los datos de Defender para punto de conexión. Si usa modo de auditoría, puede emplear la búsqueda avanzada para ver cómo la configuración de protección contra vulnerabilidades de seguridad podría afectar a su entorno.

Esta es una consulta de ejemplo:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Protección contra vulnerabilidades y búsqueda avanzada

A continuación se muestran los tipos de acción de búsqueda avanzada disponibles para Protección contra vulnerabilidades de seguridad.

Nombre de mitigación de Protección contra vulnerabilidades Protección contra vulnerabilidades: búsqueda avanzada: ActionTypes
Protección de código arbitrario ExploitGuardAcgAudited
ExploitGuardAcgEnforced
No permitir bloqueo de procesos secundarios ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
Exportar filtrado de direcciones (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
Importar filtrado de direcciones (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
Bloquear imágenes de integridad baja ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
Protección de integridad de código ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• Simulación de la ejecución (SimExec)
• Validar invocación de API (CallerCheck)
• Validar la integridad de la pila (StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
Bloquear imágenes remotas ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Deshabilitar llamadas del sistema de Win32k ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Revisar los eventos de protección contra vulnerabilidades de seguridad en el Visor de eventos de Windows

Puede revisar el registro de eventos de Windows para ver los eventos que se crean cuando la protección contra vulnerabilidades de seguridad bloquea (o audita) una aplicación:

Proveedor u origen Id. de evento Descripción
Mitigaciones de seguridad 1 Auditoría de ACG
Mitigaciones de seguridad 2 Aplicación de ACG
Mitigaciones de seguridad 3 No permitir auditoría de procesos secundarios
Mitigaciones de seguridad 4 No permitir bloqueo de procesos secundarios
Mitigaciones de seguridad 5 Bloquear auditoría de imágenes de integridad baja
Mitigaciones de seguridad 6 Bloquear bloqueo de imágenes de integridad baja
Mitigaciones de seguridad 7 Bloquear auditoría de imágenes remota
Mitigaciones de seguridad 8 Bloquear bloqueo de imágenes remoto
Mitigaciones de seguridad 9 Deshabilitar auditoría de llamadas del sistema de Win32k
Mitigaciones de seguridad 10 Deshabilitar bloqueo de llamadas del sistema de Win32k
Mitigaciones de seguridad 11 Auditoría de protección de integridad de código
Mitigaciones de seguridad 12 Bloque de protección de integridad de código
Mitigaciones de seguridad 13 Auditoría de EAF
Mitigaciones de seguridad 14 Aplicación de EAF
Mitigaciones de seguridad 15 Auditoría de EAF+
Mitigaciones de seguridad 16 Aplicación de EAF+
Mitigaciones de seguridad 17 Auditoría de IAF
Mitigaciones de seguridad 18 Aplicación de IAF
Mitigaciones de seguridad 19 Auditoría ROP StackPivot
Mitigaciones de seguridad 20 Aplicación de ROP StackPivot
Mitigaciones de seguridad 21 Auditoría ROP CallerCheck
Mitigaciones de seguridad 22 Aplicación de ROP CallerCheck
Mitigaciones de seguridad 23 Auditoría de ROP SimExec
Mitigaciones de seguridad 24 Aplicación de ROP SimExec
Diagnósticos WER 5 Bloque CFG
Win32K 260 Fuente que no es de confianza

Comparación de mitigaciones

Las mitigaciones disponibles en EMET se incluyen de forma nativa en Windows 10 (a partir de la versión 1709), Windows 11 y Windows Server (a partir de la versión 1803), en Protección contra vulnerabilidades.

La tabla de esta sección indica la disponibilidad y compatibilidad de las mitigaciones nativas entre EMET y la protección contra vulnerabilidades de seguridad.

Mitigación Disponible en la protección contra vulnerabilidades de seguridad Disponible en EMET
Protección de código arbitrario (ACG)
Como "comprobación de protección de memoria"
Bloquear imágenes remotas
Como "Comprobación de la biblioteca de carga"
Bloquear fuentes que no son de confianza
Prevención de ejecución de datos (DEP)
Exportar filtrado de direcciones (EAF)
Forzar la selección aleatoria de imágenes (ASLR es obligatorio)
Mitigación de seguridad de NullPage
Se incluye de forma nativa en Windows 10 y Windows 11
Para obtener más información, consulte Mitigación de amenazas mediante Windows 10 características de seguridad.
Aleatorizar las asignaciones de memoria (ASLR ascendente)
Simular la ejecución (SimExec)
Validar la invocación de la API (CallerCheck)
Validar cadenas de excepción (SEHOP)
Validar la integridad de la pila (StackPivot)
Confianza de certificado (anclaje configurable de certificados) Windows 10 y Windows 11 proporcionan el anclaje de certificados de empresa
Asignación de difusión del montón Ineficaz contra vulnerabilidades de seguridad basadas en los exploradores más recientes; las mitigaciones más nuevas proporcionan una mejor protección
Para obtener más información, consulte Mitigación de amenazas mediante Windows 10 características de seguridad.
Bloquear imágenes de integridad baja No
Protección de integridad de código No
Deshabilitar los puntos de extensión No
Deshabilitar llamadas del sistema de Win32k No
No permitir bloqueo de procesos secundarios Yes No
Importar filtrado de direcciones (IAF) No
Validar el uso de identificador No
Validar la integridad del montón No
Validar la integridad de la dependencia de imagen No

Nota:

Las mitigaciones avanzadas de ROP que están disponibles en EMET se reemplazan por ACG en Windows 10 y Windows 11, otras configuraciones avanzadas de EMET están habilitadas de forma predeterminada, como parte de habilitar las mitigaciones contra ROP en un proceso. Para obtener más información sobre cómo Windows 10 emplea la tecnología EMET existente, consulte Mitigación de amenazas mediante Windows 10 características de seguridad.

Ver también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.