Creación e implementación de una directiva de Protección contra vulnerabilidades de seguridad
Se aplica a: Configuration Manager (rama actual)
Puede configurar e implementar directivas de Configuration Manager que administran los cuatro componentes de Windows Defender Exploit Guard. Estos componentes incluyen:
- Reducción de la superficie expuesta a ataques
- Acceso controlado a carpetas
- Protección contra vulnerabilidades de seguridad
- Protección de red
Los datos de cumplimiento de la implementación de directivas de Exploit Guard están disponibles desde la consola de Configuration Manager.
Nota:
Configuration Manager no habilita esta característica opcional de forma predeterminada. Debe habilitar esta característica antes de usarla. Para obtener más información, consulte Habilitación de características opcionales a partir de actualizaciones.
Requisitos previos
Los dispositivos administrados deben ejecutarse Windows 10 1709 o posterior; la compilación mínima de Windows Server es la versión 1809 o posterior hasta Server 2019 únicamente. También se deben cumplir los siguientes requisitos, en función de los componentes y reglas configurados:
| Componente Protección contra vulnerabilidades | Requisitos previos adicionales |
|---|---|
| Reducción de la superficie expuesta a ataques | Los dispositivos deben tener habilitada Microsoft Defender para punto de conexión protección always-on. |
| Acceso controlado a carpetas | Los dispositivos deben tener habilitada Microsoft Defender para punto de conexión protección always-on. |
| Protección contra vulnerabilidades de seguridad | Ninguno |
| Protección de red | Los dispositivos deben tener habilitada Microsoft Defender para punto de conexión protección always-on. |
Creación de una directiva de Protección contra vulnerabilidades de seguridad
En la consola de Configuration Manager, vaya a Assets and compliance Endpoint Protection (Recursos y cumplimiento> deEndpoint Protection) y, a continuación, haga clic en Windows Defender Exploit Guard.
En la pestaña Inicio , en el grupo Crear , haga clic en Crear directiva de vulnerabilidad de seguridad.
En la página General del Asistente para crear elementos de configuración, especifique un nombre y una descripción opcional para el elemento de configuración.
A continuación, seleccione los componentes de Exploit Guard que desea administrar con esta directiva. Para cada componente que seleccione, puede configurar detalles adicionales.
- Reducción de la superficie expuesta a ataques: Configure las amenazas de Office, las amenazas de scripting y las amenazas de correo electrónico que desea bloquear o auditar. También puede excluir archivos o carpetas específicos de esta regla.
- Acceso controlado a carpetas: Configure el bloqueo o la auditoría y, a continuación, agregue aplicaciones que puedan omitir esta directiva. También puede especificar carpetas adicionales que no estén protegidas de forma predeterminada.
- Protección contra vulnerabilidades de seguridad: Especifique un archivo XML que contenga la configuración para mitigar las vulnerabilidades de seguridad de los procesos del sistema y las aplicaciones. Puede exportar esta configuración desde la aplicación Windows Defender Security Center en un dispositivo Windows 10 o posterior.
- Protección de red: Establezca la protección de red para bloquear o auditar el acceso a dominios sospechosos.
Complete el asistente para crear la directiva, que puede implementar más adelante en los dispositivos.
Advertencia
El archivo XML para la protección contra vulnerabilidades de seguridad debe mantenerse seguro al transferirlo entre máquinas. El archivo debe eliminarse después de la importación o mantenerse en una ubicación segura.
Implementación de una directiva de Protección contra vulnerabilidades de seguridad
Después de crear directivas de Exploit Guard, use el Asistente para implementar directivas de Protección contra vulnerabilidades de seguridad para implementarlas. Para ello, abra la consola de Configuration Manager en Activos y cumplimiento>de Endpoint Protection y, a continuación, haga clic en Implementar directiva de Protección contra vulnerabilidades de seguridad.
Importante
Una vez que implementes una directiva de Protección contra vulnerabilidades de seguridad, como Reducción de superficie expuesta a ataques o Acceso controlado a carpetas, la configuración de Protección contra vulnerabilidades no se quitará de los clientes si quitas la implementación. Delete not supported se registra en el ExploitGuardHandler.log del cliente si quita la implementación de Exploit Guard del cliente. El siguiente script de PowerShell se puede ejecutar en el contexto SYSTEM para quitar esta configuración:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Windows Defender configuración de la directiva de Protección contra vulnerabilidades de seguridad
Directivas y opciones de reducción de superficie expuesta a ataques
Reducción de superficie expuesta a ataques puede reducir la superficie expuesta a ataques de las aplicaciones con reglas inteligentes que detienen los vectores usados por Office, scripts y malware basado en correo. Obtén más información sobre la reducción de la superficie expuesta a ataques y los identificadores de evento que se usan para ello.
Archivos y carpetas que se excluirán de las reglas de reducción de superficie expuesta a ataques : haga clic en Establecer y especifique los archivos o carpetas que se van a excluir.
Email Amenazas:
- Bloquee el contenido ejecutable del cliente de correo electrónico y el correo web.
- No configurado
- Bloquear
- Auditoría
- Bloquee el contenido ejecutable del cliente de correo electrónico y el correo web.
Amenazas de Office:
- Impedir que la aplicación de Office cree procesos secundarios.
- No configurado
- Bloquear
- Auditoría
- Impedir que las aplicaciones de Office creen contenido ejecutable.
- No configurado
- Bloquear
- Auditoría
- Impedir que las aplicaciones de Office inserten código en otros procesos.
- No configurado
- Bloquear
- Auditoría
- Bloquee las llamadas API de Win32 desde macros de Office.
- No configurado
- Bloquear
- Auditoría
- Impedir que la aplicación de Office cree procesos secundarios.
Amenazas de scripting:
- Impedir que JavaScript o VBScript inicien el contenido ejecutable descargado.
- No configurado
- Bloquear
- Auditoría
- Bloquear la ejecución de scripts potencialmente ofuscados.
- Not Configured
- Bloquear
- Auditoría
- Impedir que JavaScript o VBScript inicien el contenido ejecutable descargado.
Amenazas de ransomware: (a partir de Configuration Manager versión 1802)
- Use la protección avanzada contra ransomware.
- No configurado
- Bloquear
- Auditoría
- Use la protección avanzada contra ransomware.
Amenazas del sistema operativo: (a partir de Configuration Manager versión 1802)
- Bloquee el robo de credenciales del subsistema de autoridad de seguridad local de Windows.
- No configurado
- Bloquear
- Auditoría
- Bloquee la ejecución de archivos ejecutables a menos que cumplan un criterio de prevalencia, edad o lista de confianza.
- No configurado
- Bloquear
- Auditoría
- Bloquee el robo de credenciales del subsistema de autoridad de seguridad local de Windows.
Amenazas de dispositivos externos: (a partir de Configuration Manager versión 1802)
- Bloquee los procesos que no son de confianza y no firmados que se ejecutan desde USB.
- No configurado
- Bloquear
- Auditoría
- Bloquee los procesos que no son de confianza y no firmados que se ejecutan desde USB.
Directivas y opciones de acceso a carpetas controladas
Ayuda a proteger los archivos de las carpetas clave del sistema de los cambios realizados por aplicaciones malintencionadas y sospechosas, incluido el malware ransomware de cifrado de archivos. Para obtener más información, vea Acceso controlado a carpetas y los identificadores de evento que usa.
- Configuración del acceso controlado a carpetas:
- Bloquear
- Bloquear solo sectores de disco (a partir de Configuration Manager versión 1802)
- Permite habilitar solo el acceso controlado a carpetas para los sectores de arranque y no habilita la protección de carpetas específicas ni de las carpetas protegidas predeterminadas.
- Auditoría
- Auditar solo los sectores de disco (a partir de Configuration Manager versión 1802)
- Permite habilitar solo el acceso controlado a carpetas para los sectores de arranque y no habilita la protección de carpetas específicas ni de las carpetas protegidas predeterminadas.
- Deshabilitada
- Permitir aplicaciones a través del acceso controlado a carpetas : haga clic en Establecer y especifique las aplicaciones.
- Carpetas protegidas adicionales : haga clic en Establecer y especifique carpetas protegidas adicionales.
Directivas de protección contra vulnerabilidades
Aplica técnicas de mitigación de vulnerabilidades de seguridad a los procesos del sistema operativo y las aplicaciones que usa su organización. Esta configuración se puede exportar desde la aplicación Windows Defender Security Center en dispositivos Windows 10 o posteriores. Para obtener más información, consulte Protección contra vulnerabilidades de seguridad.
XML de protección contra vulnerabilidades: haga clic en Examinar y especifique el archivo XML que se va a importar.
Advertencia
El archivo XML para la protección contra vulnerabilidades de seguridad debe mantenerse seguro al transferirlo entre máquinas. El archivo debe eliminarse después de la importación o mantenerse en una ubicación segura.
Directiva de protección de red
Ayuda a minimizar la superficie expuesta a ataques en dispositivos de ataques basados en Internet. El servicio restringe el acceso a dominios sospechosos que pueden hospedar estafas de phishing, vulnerabilidades de seguridad y contenido malintencionado. Para obtener más información, consulte Protección de red.
- Configuración de la protección de red:
- Bloquear
- Auditoría
- Deshabilitada
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de