Proteger los dispositivos contra vulnerabilidades de seguridad
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
La protección contra vulnerabilidades aplica automáticamente muchas técnicas de mitigación de vulnerabilidades a los procesos y aplicaciones del sistema operativo. La protección contra vulnerabilidades se admite a partir de Windows 10, versión 1709, Windows 11 y Windows Server, versión 1803.
La protección contra vulnerabilidades de seguridad funciona mejor con Defender para punto de conexión, que proporciona informes detallados sobre eventos y bloques de protección contra vulnerabilidades como parte de los escenarios habituales de investigación de alertas.
Puede habilitar la protección contra vulnerabilidades de seguridad en un dispositivo individual y, a continuación, usar la directiva de grupo para distribuir el archivo XML a varios dispositivos a la vez.
Cuando se encuentra una mitigación en el dispositivo, se muestra una notificación desde el Centro de acciones. Puede personalizar la notificación con los detalles de la empresa y la información de contacto. También puede habilitar las reglas individualmente para personalizar las técnicas que supervisan las características.
También puede usar el modo de auditoría para evaluar cómo afectaría la protección contra vulnerabilidades de seguridad a su organización si estuviera habilitada.
Muchas de las características de Enhanced Mitigation Experience Toolkit (EMET) se incluyen en la protección contra vulnerabilidades de seguridad. De hecho, puede convertir e importar los perfiles de configuración de EMET existentes en la protección contra vulnerabilidades de seguridad. Para más información, consulte Importar, exportar e implementar configuraciones de protección de vulnerabilidades de seguridad.
Importante
Si usa actualmente EMET, debe tener en cuenta que EMET llegó a su finalización del soporte el 31 de julio de 2018. Plantéese reemplazar EMET por la protección contra vulnerabilidades de seguridad en Windows 10.
Advertencia
Algunas tecnologías de mitigación de seguridad pueden tener problemas de compatibilidad con algunas aplicaciones. Debe probar la protección contra vulnerabilidades de seguridad en todos los escenarios de uso de destino con el modo auditoría antes de implementar la configuración en un entorno de producción o en el resto de la red.
Revisión de eventos de protección contra vulnerabilidades en el portal de Microsoft Defender
Defender para punto de conexión proporciona informes detallados sobre eventos y bloques como parte de sus escenarios de investigación de alertas.
Puede usar la Búsqueda avanzada de amenazas para consultar los datos de Defender para punto de conexión. Si usa modo de auditoría, puede emplear la búsqueda avanzada para ver cómo la configuración de protección contra vulnerabilidades de seguridad podría afectar a su entorno.
Esta es una consulta de ejemplo:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Protección contra vulnerabilidades y búsqueda avanzada
A continuación se muestran los tipos de acción de búsqueda avanzada disponibles para Protección contra vulnerabilidades de seguridad.
Nombre de mitigación de Protección contra vulnerabilidades | Protección contra vulnerabilidades: búsqueda avanzada: ActionTypes |
---|---|
Protección de código arbitrario | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
No permitir bloqueo de procesos secundarios | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
Exportar filtrado de direcciones (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
Importar filtrado de direcciones (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
Bloquear imágenes de integridad baja | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
Protección de integridad de código | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
• Simulación de la ejecución (SimExec) • Validar invocación de API (CallerCheck) • Validar la integridad de la pila (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
Bloquear imágenes remotas | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
Deshabilitar llamadas del sistema de Win32k | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Revisar los eventos de protección contra vulnerabilidades de seguridad en el Visor de eventos de Windows
Puede revisar el registro de eventos de Windows para ver los eventos que se crean cuando la protección contra vulnerabilidades de seguridad bloquea (o audita) una aplicación:
Proveedor u origen | Id. de evento | Descripción |
---|---|---|
Mitigaciones de seguridad | 1 | Auditoría de ACG |
Mitigaciones de seguridad | 2 | Aplicación de ACG |
Mitigaciones de seguridad | 3 | No permitir auditoría de procesos secundarios |
Mitigaciones de seguridad | 4 | No permitir bloqueo de procesos secundarios |
Mitigaciones de seguridad | 5 | Bloquear auditoría de imágenes de integridad baja |
Mitigaciones de seguridad | 6 | Bloquear bloqueo de imágenes de integridad baja |
Mitigaciones de seguridad | 7 | Bloquear auditoría de imágenes remota |
Mitigaciones de seguridad | 8 | Bloquear bloqueo de imágenes remoto |
Mitigaciones de seguridad | 9 | Deshabilitar auditoría de llamadas del sistema de Win32k |
Mitigaciones de seguridad | 10 | Deshabilitar bloqueo de llamadas del sistema de Win32k |
Mitigaciones de seguridad | 11 | Auditoría de protección de integridad de código |
Mitigaciones de seguridad | 12 | Bloque de protección de integridad de código |
Mitigaciones de seguridad | 13 | Auditoría de EAF |
Mitigaciones de seguridad | 14 | Aplicación de EAF |
Mitigaciones de seguridad | 15 | Auditoría de EAF+ |
Mitigaciones de seguridad | 16 | Aplicación de EAF+ |
Mitigaciones de seguridad | 17 | Auditoría de IAF |
Mitigaciones de seguridad | 18 | Aplicación de IAF |
Mitigaciones de seguridad | 19 | Auditoría ROP StackPivot |
Mitigaciones de seguridad | 20 | Aplicación de ROP StackPivot |
Mitigaciones de seguridad | 21 | Auditoría ROP CallerCheck |
Mitigaciones de seguridad | 22 | Aplicación de ROP CallerCheck |
Mitigaciones de seguridad | 23 | Auditoría de ROP SimExec |
Mitigaciones de seguridad | 24 | Aplicación de ROP SimExec |
Diagnósticos WER | 5 | Bloque CFG |
Win32K | 260 | Fuente que no es de confianza |
Comparación de mitigaciones
Las mitigaciones disponibles en EMET se incluyen de forma nativa en Windows 10 (a partir de la versión 1709), Windows 11 y Windows Server (a partir de la versión 1803), en Protección contra vulnerabilidades.
La tabla de esta sección indica la disponibilidad y compatibilidad de las mitigaciones nativas entre EMET y la protección contra vulnerabilidades de seguridad.
Mitigación | Disponible en la protección contra vulnerabilidades de seguridad | Disponible en EMET |
---|---|---|
Protección de código arbitrario (ACG) | Sí | Sí Como "comprobación de protección de memoria" |
Bloquear imágenes remotas | Sí | Sí Como "Comprobación de la biblioteca de carga" |
Bloquear fuentes que no son de confianza | Sí | Sí |
Prevención de ejecución de datos (DEP) | Sí | Sí |
Exportar filtrado de direcciones (EAF) | Sí | Sí |
Forzar la selección aleatoria de imágenes (ASLR es obligatorio) | Sí | Sí |
Mitigación de seguridad de NullPage | Sí Se incluye de forma nativa en Windows 10 y Windows 11 Para obtener más información, consulte Mitigación de amenazas mediante Windows 10 características de seguridad. |
Sí |
Aleatorizar las asignaciones de memoria (ASLR ascendente) | Sí | Sí |
Simular la ejecución (SimExec) | Sí | Sí |
Validar la invocación de la API (CallerCheck) | Sí | Sí |
Validar cadenas de excepción (SEHOP) | Sí | Sí |
Validar la integridad de la pila (StackPivot) | Sí | Sí |
Confianza de certificado (anclaje configurable de certificados) | Windows 10 y Windows 11 proporcionan el anclaje de certificados de empresa | Sí |
Asignación de difusión del montón | Ineficaz contra vulnerabilidades de seguridad basadas en los exploradores más recientes; las mitigaciones más nuevas proporcionan una mejor protección Para obtener más información, consulte Mitigación de amenazas mediante Windows 10 características de seguridad. |
Sí |
Bloquear imágenes de integridad baja | Sí | No |
Protección de integridad de código | Sí | No |
Deshabilitar los puntos de extensión | Sí | No |
Deshabilitar llamadas del sistema de Win32k | Sí | No |
No permitir bloqueo de procesos secundarios | Yes | No |
Importar filtrado de direcciones (IAF) | Sí | No |
Validar el uso de identificador | Sí | No |
Validar la integridad del montón | Sí | No |
Validar la integridad de la dependencia de imagen | Sí | No |
Nota:
Las mitigaciones avanzadas de ROP que están disponibles en EMET se reemplazan por ACG en Windows 10 y Windows 11, otras configuraciones avanzadas de EMET están habilitadas de forma predeterminada, como parte de habilitar las mitigaciones contra ROP en un proceso. Para obtener más información sobre cómo Windows 10 emplea la tecnología EMET existente, consulte Mitigación de amenazas mediante Windows 10 características de seguridad.
Ver también
- Configurar y auditar mitigaciones de protección contra vulnerabilidades de seguridad
- Solución de problemas de protección contra vulnerabilidades de seguridad
- Optimizar la implementación y las detecciones de reglas de ASR
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.