Habilitar la protección contra vulnerabilidades de seguridad
Se aplica a:
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender XDR
Sugerencia
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Protección contra vulnerabilidades ayuda a proteger contra malware que usa vulnerabilidades de seguridad para infectar dispositivos y propagarse. La protección contra vulnerabilidades se compone de muchas mitigaciones que se pueden aplicar al sistema operativo o a aplicaciones individuales.
Importante
.NET 2.0 no es compatible con algunas funcionalidades de protección contra vulnerabilidades de seguridad, en concreto, el filtrado de direcciones de exportación (EAF) y el filtrado de direcciones de importación (IAF). Si ha habilitado .NET 2.0, no se admite el uso de EAF e IAF.
Muchas de las características del Kit de herramientas de Experiencia de mitigación mejorada (EMET) se incluyen en la protección contra vulnerabilidades de seguridad.
Puede habilitar cada mitigación por separado mediante cualquiera de estos métodos:
- Aplicación Seguridad de Windows
- Microsoft Intune
- Administración de dispositivos móviles (MDM)
- Microsoft Configuration Manager
- Directiva de grupo
- PowerShell
La protección contra vulnerabilidades está configurada de forma predeterminada en Windows 10 y Windows 11. Puede establecer cada mitigación en activado, desactivado o en su valor predeterminado. Algunas mitigaciones tienen más opciones. Puede exportar esta configuración como un archivo XML e implementarla en otros dispositivos.
También puede establecer mitigaciones en modo de auditoría. El modo de auditoría permite probar cómo funcionarán las mitigaciones (y revisar los eventos) sin afectar al uso normal del dispositivo.
Aplicación Seguridad de Windows
Abra la aplicación Seguridad de Windows seleccionando el icono de escudo en la barra de tareas o buscando Seguridad en el menú Inicio.
Seleccione el icono Control de aplicaciones y navegador (o el icono de la aplicación en la barra de menús de la izquierda) y seleccione Configuración de protección contra vulnerabilidades.
Vaya a Configuración del programa y elija la aplicación a la que quiere aplicar mitigaciones.
- Si la aplicación que quiere configurar ya aparece en la lista, selecciónela y seleccione Editar.
- Si la aplicación no aparece, en la parte superior de la lista, seleccione Agregar programa para personalizar y, a continuación, elija cómo desea agregar la aplicación.
- Use Agregar por nombre de programa para aplicar la mitigación a cualquier proceso en ejecución con ese nombre. Especifique un archivo con su extensión. Puede escribir una ruta de acceso completa para limitar la mitigación solo a la aplicación con ese nombre en esa ubicación.
- Use Elegir la ruta de acceso exacta de un archivo para usar una ventana estándar del selector de archivos de Explorador de Windows para buscar y seleccionar el archivo que quiera.
Después de seleccionar la aplicación, verá una lista de todas las mitigaciones que se pueden aplicar. Al elegir Auditoría solo se aplicará la mitigación en modo auditoría. Se te notificará si necesitas reiniciar el proceso o la aplicación, o si necesitas reiniciar Windows.
Repita los pasos del 3 al 4 para todas las aplicaciones y mitigaciones que quiera configurar.
En la sección Configuración del sistema, busque la mitigación que quiera configurar y especifique una de las siguientes opciones. Las aplicaciones que no se configuran individualmente en la sección Configuración del programa usan las opciones que se configuran aquí.
- Activado de forma predeterminada: la mitigación está habilitada para aplicaciones que no tienen esta mitigación establecida en la sección Configuración del programa
- Desactivado de forma predeterminada: la mitigación está deshabilitada para aplicaciones que no tienen esta mitigación establecida en la sección Configuración del programa
- Usar valor predeterminado: la mitigación está habilitada o deshabilitada, según la configuración predeterminada configurada por la instalación de Windows 10 o Windows 11; el valor predeterminado (Activado o Desactivado) siempre se especifica junto a la etiqueta Usar valor predeterminado para cada mitigación.
Repita el paso 6 para todas las mitigaciones de nivel de sistema que quiera configurar. Seleccione Aplicar cuando haya terminado de establecer la configuración.
Si agrega una aplicación a la sección Configuración del programa y configura las opciones de mitigación individuales allí, se respetarán por encima de la configuración para las mismas mitigaciones especificadas en la sección Configuración del sistema . La matriz y los ejemplos siguientes ayudan a ilustrar cómo funcionan los valores predeterminados:
| Habilitado en Configuración del programa | Habilitado en Configuración del sistema | Comportamiento |
|---|---|---|
| Sí | No | Tal y como se define en Configuración del programa |
| Sí | Sí | Tal y como se define en Configuración del programa |
| No | Sí | Tal y como se define en Configuración del sistema |
| No | No | Valor predeterminado definido en la opción Usar valor predeterminado |
Ejemplo 1: Alberto configura la prevención de ejecución de datos en la sección de configuración del sistema para que esté desactivada de forma predeterminada
Alberto agrega la aplicación test.exe a la sección Configuración del programa. En las opciones de esa aplicación, en Prevención de ejecución de datos (DEP), Alberto habilita la opción Invalidar la configuración del sistema y establece el modificador en Activado. No hay otras aplicaciones enumeradas en la sección Configuración del programa.
El resultado es que DEP solo está habilitado para test.exe. Todas las demás aplicaciones no tendrán deP aplicado.
Ejemplo 2: Elvira configura la prevención de ejecución de datos en la configuración del sistema para que esté desactivada de forma predeterminada
Elvira agrega la aplicación test.exe a la sección Configuración del programa. En las opciones de esa aplicación, en Prevención de ejecución de datos (DEP), Elvira habilita la opción Invalidar configuración del sistema y establece el modificador en Activado.
Elvira también agrega la aplicación miles.exe a la sección Configuración del programa y establece Protección de flujo de control (CFG) en Activado. Elvira no habilita la opción Invalidar configuración del sistema para DEP ni otras mitigaciones para esa aplicación.
El resultado es que DEP está habilitado para test.exe. DEP no se habilitará para ninguna otra aplicación, incluido miles.exe. CFG se habilitará para miles.exe.
Abra la aplicación Seguridad de Windows seleccionando el icono de escudo en la barra de tareas o buscando Seguridad de Windows en el menú Inicio.
Seleccione el icono Control de aplicaciones y navegador (o el icono de la aplicación en la barra de menús de la izquierda) y seleccione Protección contra vulnerabilidades.
Vaya a Configuración del programa y elija la aplicación a la que quiere aplicar mitigaciones.
- Si la aplicación que quiere configurar ya aparece en la lista, selecciónela y seleccione Editar.
- Si la aplicación no aparece, en la parte superior de la lista, seleccione Agregar programa para personalizar y, a continuación, elija cómo desea agregar la aplicación.
- Use Agregar por nombre de programa para aplicar la mitigación a cualquier proceso en ejecución con ese nombre. Especifique un archivo con una extensión. Puede escribir una ruta de acceso completa para limitar la mitigación solo a la aplicación con ese nombre en esa ubicación.
- Use Elegir la ruta de acceso exacta de un archivo para usar una ventana estándar del selector de archivos de Explorador de Windows para buscar y seleccionar el archivo que quiera.
Después de seleccionar la aplicación, verá una lista de todas las mitigaciones que se pueden aplicar. Al elegir Auditoría solo se aplicará la mitigación en modo auditoría. Se te notificará si necesitas reiniciar el proceso o la aplicación, o si necesitas reiniciar Windows.
Repita los pasos del 3 al 4 para todas las aplicaciones y mitigaciones que quiera configurar. Seleccione Aplicar cuando haya terminado de establecer la configuración.
Intune
Inicie sesión en Azure Portal y abra Intune.
Vaya aPerfiles>de configuración> de dispositivo Create perfil.
Asigne un nombre al perfil, elija Windows 10 y versiones posteriores, seleccione plantillas para Tipo de perfil y elija Endpoint protection en Nombre de plantilla.
Seleccione Configurar>Windows Defender Protección contra vulnerabilidades de seguridad> de Proteccióncontra vulnerabilidades de seguridad.
Cargue un archivo XML con la configuración de protección contra vulnerabilidades:
Seleccione Aceptar para guardar cada hoja abierta y elija Crear.
Seleccione la pestaña Asignaciones de perfil, asigne la directiva a Todos los usuarios y todos los dispositivos y seleccione Guardar.
MDM
Use el proveedor de servicios de configuración (CSP) ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings para habilitar o deshabilitar mitigaciones de protección contra vulnerabilidades de seguridad o para usar el modo de auditoría.
Microsoft Configuration Manager
Seguridad de punto de conexión
En Microsoft Configuration Manager, vaya aReducción de la superficie expuesta a ataques de seguridad > de punto de conexión.
Seleccione Create Plataforma de directivas> y, en Perfil, elija Protección contra vulnerabilidades de seguridad. Luego, seleccione Crear.
Especifique un nombre y una descripción y, después, elija Siguiente.
Elija Seleccionar archivo XML y vaya a la ubicación del archivo XML de protección contra vulnerabilidades de seguridad. Seleccione el archivo y elija Siguiente.
Configure Etiquetas de ámbito y Asignaciones si es necesario.
En Revisar y crear, revise las opciones de configuración y elija Crear.
Activos y cumplimiento
En Microsoft Configuration Manager, vaya a Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.
Seleccione Inicio>Create Directiva de Protección contra vulnerabilidades de seguridad.
Especifique un nombre y una descripción, seleccione Protección contra vulnerabilidades y elija Siguiente.
Vaya a la ubicación del archivo XML de protección contra vulnerabilidades y seleccione Siguiente.
Revise la configuración y elija Siguiente para crear la directiva.
Una vez creada la directiva, seleccione Cerrar.
Directiva de grupo
En el dispositivo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo, haga clic con el botón secundario en el objeto de directiva de grupo que quiera configurar y haga clic Editar.
En el Editor de administración de directiva de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.
Expanda el árbol a componentes> de Windows Windows Defender Protección contra vulnerabilidadesde seguridad de Protección contravulnerabilidades>>de seguridad Use un conjunto común de configuraciones de protección contra vulnerabilidades de seguridad.
Seleccione Habilitado, escriba la ubicación del archivo XML y elija Aceptar.
PowerShell
Puede usar el verbo de PowerShell Get o Set con el cmdlet ProcessMitigation. Al usar Get se mostrará el estado de configuración actual de las mitigaciones habilitadas en el dispositivo. Agregue el cmdlet -Name y el archivo exe de la aplicación para ver las mitigaciones solo para esa aplicación:
Get-ProcessMitigation -Name processName.exe
Importante
Las mitigaciones de nivel de sistema que no se han configurado mostrarán el estado NOTSET.
- Para la configuración de nivel del sistema,
NOTSETindica que se ha aplicado la configuración predeterminada para esa mitigación. - Para la configuración de nivel de aplicación,
NOTSETindica que se aplicará la configuración de nivel de sistema para la mitigación. La configuración predeterminada para cada mitigación de nivel de sistema se puede ver en Seguridad de Windows.
Use Set para configurar cada mitigación en el formato siguiente:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Donde:
- <Ámbito>:
-Namepara indicar que las mitigaciones se deben aplicar a una aplicación específica. Especifique el ejecutable de la aplicación después de esta marca.-Systempara indicar que la mitigación debe aplicarse en el nivel del sistema
- <Acción>:
-Enablepara habilitar la mitigación-Disablepara deshabilitar la mitigación
- <Mitigación>:
- Cmdlet de mitigación junto con cualquier subopción (rodeado de espacios). Cada mitigación se separa con una coma.
Por ejemplo, para habilitar la mitigación de Prevención de ejecución de datos (DEP) con emulación de thunk ATL y para un ejecutable llamado testing.exe en la carpeta C:\Apps\LOB\tests, y para evitar que ese ejecutable cree procesos secundarios, usaría el siguiente comando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation
Importante
Separe cada opción de mitigación con comas.
Si quisiera aplicar DEP en el nivel del sistema, usaría el siguiente comando:
Set-Processmitigation -System -Enable DEP
Para deshabilitar las mitigaciones, puede reemplazar -Enable por -Disable. Sin embargo, en el caso de las mitigaciones de nivel de aplicación, esta acción obliga a deshabilitar la mitigación solo para esa aplicación.
Si necesita restaurar la mitigación al valor predeterminado del sistema, debe incluir también el cmdlet -Remove, como en el ejemplo siguiente:
Set-Processmitigation -Name test.exe -Remove -Disable DEP
En la tabla siguiente se enumeran las Mitigaciones (y Auditorías, cuando estén disponibles) que se usarán con los parámetros del cmdlet -Enable o -Disable.
| Tipo de mitigación | Se aplica a | Palabra clave del parámetro del cmdlet de mitigación | Parámetro de cmdlet del modo de auditoría |
|---|---|---|---|
| Protección del flujo de control (CFG) | Nivel de sistema y aplicación | CFG, StrictCFG, SuppressExports |
Auditoría no disponible |
| Prevención de ejecución de datos (DEP) | Nivel de sistema y aplicación | DEP, EmulateAtlThunks |
Auditoría no disponible |
| Forzar la selección aleatoria de imágenes (ASLR es obligatorio) | Nivel de sistema y aplicación | ForceRelocateImages |
Auditoría no disponible |
| Aleatorizar las asignaciones de memoria (ASLR ascendente) | Nivel de sistema y aplicación | BottomUp, HighEntropy |
Auditoría no disponible |
| Validar cadenas de excepción (SEHOP) | Nivel de sistema y aplicación | SEHOP, SEHOPTelemetry |
Auditoría no disponible |
| Validar la integridad del montón | Nivel de sistema y aplicación | TerminateOnError |
Auditoría no disponible |
| Protección de código arbitrario (ACG) | Solo nivel de aplicación | DynamicCode |
AuditDynamicCode |
| Bloquear imágenes de integridad baja | Solo nivel de aplicación | BlockLowLabel |
AuditImageLoad |
| Bloquear imágenes remotas | Solo nivel de aplicación | BlockRemoteImages |
Auditoría no disponible |
| Bloquear fuentes que no son de confianza | Solo nivel de aplicación | DisableNonSystemFonts |
AuditFont, FontAuditOnly |
| Protección de integridad de código | Solo nivel de aplicación | BlockNonMicrosoftSigned, AllowStoreSigned |
AuditMicrosoftSigned, AuditStoreSigned |
| Deshabilitar los puntos de extensión | Solo nivel de aplicación | ExtensionPoint |
Auditoría no disponible |
| Deshabilitar llamadas del sistema de Win32k | Solo nivel de aplicación | DisableWin32kSystemCalls |
AuditSystemCall |
| No permitir bloqueo de procesos secundarios | Solo nivel de aplicación | DisallowChildProcessCreation |
AuditChildProcess |
| Exportar filtrado de direcciones (EAF) | Solo nivel de aplicación | EnableExportAddressFilterPlus, EnableExportAddressFilter[1] |
Auditoría no disponible [2] |
| Importar filtrado de direcciones (IAF) | Solo nivel de aplicación | EnableImportAddressFilter |
Auditoría no disponible [2] |
| Simular la ejecución (SimExec) | Solo nivel de aplicación | EnableRopSimExec |
Auditoría no disponible [2] |
| Validar la invocación de la API (CallerCheck) | Solo nivel de aplicación | EnableRopCallerCheck |
Auditoría no disponible [2] |
| Validar el uso de identificador | Solo nivel de aplicación | StrictHandle |
Auditoría no disponible |
| Validar la integridad de la dependencia de imagen | Solo nivel de aplicación | EnforceModuleDepencySigning |
Auditoría no disponible |
| Validar la integridad de la pila (StackPivot) | Solo nivel de aplicación | EnableRopStackPivot |
Auditoría no disponible [2] |
[1]: Use el siguiente formato para habilitar módulos EAF para archivos DLL para un proceso:
Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
[2]: La auditoría de esta mitigación no está disponible a través de cmdlets de PowerShell.
Personalizar la notificación
Para obtener información sobre cómo personalizar la notificación cuando se desencadena una regla y se bloquea una aplicación o un archivo, consulte Seguridad de Windows.
Consulte también
- Evaluación de la protección contra vulnerabilidades de seguridad
- Configurar y auditar mitigaciones de protección contra vulnerabilidades de seguridad
- Importar, exportar e implementar configuraciones de protección de vulnerabilidades de seguridad
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de