Reducir las superficies de ataque con las reglas de reducción de superficie de ataque

Se aplica a:

Importante

Parte de la información hace referencia a la versión preliminar del producto, el cual puede sufrir importantes modificaciones antes de que se publique la versión comercial. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información que se ofrece aquí.

Reducción de superficie reglas ayudan a evitar comportamientos malware a menudo se usa para infectar equipos con código malintencionado. Puedes establecer las reglas de reducción de superficie de ataque para los equipos que ejecutan Windows 10, versión 1709 o posterior, Windows Server 2016 1803 o posterior, o Windows Server 2019.

Para usar las reglas de reducción de superficie de ataque, necesita una licencia de Windows 10 Enterprise. Si tienes una licencia de Windows E5, le proporciona las capacidades de administración avanzada para ellos de energía. Estos incluyen la supervisión, análisis y flujos de trabajo disponibles en Protección contra amenazas de avanzada de Defender de Microsoft, así como las funcionalidades de informes y la configuración en el centro de seguridad de Microsoft 365. Estas funcionalidades avanzadas no están disponibles con una licencia de E3 o con Windows 10 Enterprise sin suscripción, pero puedes usar eventos de regla de superficie expuesta a ataques en el Visor de eventos para ayudar a facilitar la implementación.

Ataque superficie expuesta a ataques reglas destino comportamientos que suelen usan malware y aplicaciones malintencionadas para infectar equipos, incluidos:

  • Archivos ejecutables y scripts, usados en las aplicaciones de Office o el correo web, que intentan descargar o ejecutar archivos
  • Scripts cifrados o sospechosos
  • Comportamientos que las aplicaciones no iniciar normalmente durante el trabajo diario normal

Puedes usar el modo auditoría para evaluar cómo las reglas de reducción de superficie de ataque incidiría en la organización si se habilitaron. Es mejor ejecutar todas las reglas en modo auditoría en primer lugar para que puedan comprender su impacto de las aplicaciones de línea de negocio. Muchas aplicaciones de línea de negocio que se escriben con problemas de seguridad limitado y pueden realizar tareas similares al malware. Mediante la supervisión de datos de auditoría y Agregar exclusiones para aplicaciones necesarias, puedes implementar las reglas de reducción de superficie de ataque sin afectar a la productividad.

Desencadenar reglas mostrar una notificación en el dispositivo. Puedes personalizar la notificación con los detalles y la información de contacto de tu empresa. La notificación también se muestra en Microsoft Defender Security Center y en el centro de seguridad de Microsoft 365.

Para obtener información sobre cómo configurar las reglas de reducción de superficie de ataque, consulta Habilitar reglas de reducción de superficie de ataque.

Revisar los eventos de reducción de superficie de ataque en el Visor de eventos de Windows

Puedes revisar el registro de eventos de Windows para ver los eventos que se crean cuando disparo de reglas de reducción de superficie de ataque:

  1. Descarga el Paquete de evaluación de protección frente a vulnerabilidades y extrae el archivo cfa-events.xml en una ubicación de fácil acceso del equipo.

  2. Tipo de Visor de eventos en el menú Inicio para abrir el Visor de eventos de Windows.

  3. Haz clic en … vista personalizada de importación en el panel izquierdo, en acciones.

  4. Selecciona el archivo cfa-events.xml desde donde lo extrajo. Como alternativa, copia directamente el XML.

  5. Haz clic en Aceptar.

Esto creará una vista personalizada filtrada para mostrar solo los siguientes eventos relacionados con acceso controlado a carpetas:

Id. de evento Descripción
5007 Evento al cambiar la configuración
1121 Evento cuando se dispara la regla en modo de bloqueo
1122 Evento cuando se dispara la regla en modo auditoría

Reglas de Reducción de superficie expuesta a ataques

Las siguientes secciones describen cada una de las reglas de reducción de superficie de 15 ataque. Esta tabla muestran sus GUID correspondiente, que usas si estás configurando las reglas con la directiva de grupo o PowerShell. Si usas System Center Configuration Manager o Microsoft Intune, no es necesario el GUID:

Nombre de regla GUID Exclusiones de carpetas de archivo &
Bloquear contenido ejecutable del cliente de correo electrónico y el correo web BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 Compatible
Bloquear todas las aplicaciones de Office cree procesos secundarios D4F940AB-401B-4EFC-AADC-AD5F3C50688A Compatible
Bloquear la creación de contenido ejecutable por parte de las aplicaciones de Office 3B576869-A4EC-4529-8536-B80A7769E899 Compatible
Bloquear la inyección de código en otros procesos por parte de las aplicaciones de Office 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 Compatible
Bloquear JavaScript o VBScript para que no inicien contenido descargado ejecutable D3E037E1-3EB8-44C8-A917-57927947596D No se admite
Bloquear la ejecución de scripts potencialmente cifrados 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC Compatible
Bloquear llamadas de API de Win32 desde macros de Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B Compatible
Bloquear archivos ejecutables que se ejecutan a menos que cumplan una prevalencia, edad o criterio de la lista de confianza 01443614-cd74-433a-b99e-2ecdc07bfc25 Compatible
Usar protección avanzada contra ransomware c1db55ab-c21a-4637-bb3f-a12568109d35 Compatible
Bloquear credential robar desde el subsistema de autoridad de seguridad local (lsass.exe) de Windows 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Compatible
Creaciones de proceso de bloque procedentes de comandos PSExec y WMI d1e49aac-8f56-4280-b9ba-993a6d77406c No se admite
Bloquear sin firmar y no de confianza de los procesos que se ejecutan desde el USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Compatible
Bloquear la aplicación de comunicaciones de Office cree procesos secundarios 26190899-1602-49e8-8b27-eb1d0a1ce869 Compatible
Bloque de Adobe Reader cree procesos secundarios 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Compatible
Persistencia del bloque a través de la suscripción de eventos WMI e6db77e5-3df2-4cf1-b95a-636979351e5b No se admite

Cada descripción de la regla indica qué tipos de archivo o las aplicaciones se aplica la regla. En general, se aplican las reglas para las aplicaciones de Office para solo Word, Excel, PowerPoint y OneNote o se aplican a Outlook. Excepto cuando se especifica, no se aplican las reglas de reducción de superficie de ataque a otras aplicaciones de Office.

Bloquear contenido ejecutable del cliente de correo electrónico y el correo web

Esta regla bloquea los siguientes tipos de archivo de inicio del correo electrónico en Microsoft Outlook o Outlook.com y otros proveedores de correo Web populares de:

  • Archivos ejecutables (como .exe, .dll o .scr)
  • Archivos de script (por ejemplo, un archivo .ps de PowerShell, un .vbs de VisualBasic o un .js de JavaScript)

Nombre de Intune: quita la ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etc.) de correo electrónico (cliente de correo Web o correo) (sin excepciones)

Nombre SCCM: bloquear contenido ejecutable del cliente de correo electrónico y el correo Web

GUID: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

Bloquear todas las aplicaciones de Office cree procesos secundarios

Esta regla impide que las aplicaciones de Office cree procesos secundarios. Esto incluye Word, Excel, PowerPoint, OneNote y Access.

Se trata de un comportamiento típico de software malintencionado, especialmente el malware que abuse como un vector, uso de macros VBA de Office y aprovechar el código para descargar e intentas ejecutar una carga adicional. Algunas aplicaciones de línea de negocio legítimas también podrían utilizar comportamientos de este tipo, incluido el generando un símbolo del sistema o PowerShell para configurar las opciones del registro.

Nombre de Intune: las aplicaciones de Office para iniciar los procesos secundarios

Nombre SCCM: aplicación de Office de bloques de creación de procesos secundarios

GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Bloquear la creación de contenido ejecutable por parte de las aplicaciones de Office

Esta regla impide que las aplicaciones de Office, incluidas Word, Excel y PowerPoint, creación de contenido ejecutable.

Esta regla apunta a un comportamiento típico donde malware usa Office como un vector interrumpe Office y guardar componentes malintencionados en el disco, donde conservar y sobreviven un reinicio del equipo. Esta regla impide que el código malintencionado que se escriben en el disco.

Nombre de Intune: creación de contenido ejecutable aplicaciones/macros de Office

Nombre SCCM: aplicaciones de Office de bloques de creación de contenido ejecutable

GUID: 3B576869-A4EC-4529-8536-B80A7769E899

Bloquear la inyección de código en otros procesos por parte de las aplicaciones de Office

Los atacantes podrían intentar usar aplicaciones de Office para migrar código malintencionado en otros procesos a través de inyección de código, por lo que el código puede hacerse pasar por un proceso de limpieza. La inyección de código bloques de esta regla intenta desde las aplicaciones de Office en otros procesos. No hay ningún fines comerciales legítimos conocidos para el uso de la inyección de código.

Esta regla se aplica a Word, Excel y PowerPoint.

Nombre de Intune: las aplicaciones de Office inyectar código en otros procesos (sin excepciones)

Nombre SCCM: bloquear aplicaciones de inyección en otros procesos por parte de los código de Office

GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Bloquear JavaScript o VBScript para que no inicien contenido descargado ejecutable

A menudo, malware usa scripts de JavaScript y VBScript para iniciar otras aplicaciones malintencionadas.

Malware escrito en JavaScript o VBS a menudo actúa como un descargador para capturar e iniciar adicional carga nativo de Internet. Esta regla impide que los scripts inicien contenido descargado, lo que ayuda a impedir el uso malintencionado de los scripts para difundir el software malintencionado e infectar máquinas. Esto no es un uso común de línea de negocio, pero las aplicaciones de línea de negocio a veces emplean scripts para descargar e iniciar a instaladores. Puedes excluir scripts por lo que tienen permiso para ejecutarse.

Importante

Exclusiones de archivos y carpetas no se aplican a esta regla de reducción de superficie de ataque.

Nombre de Intune: js/vbs ejecutando carga descargados de Internet (sin excepciones)

Nombre SCCM: bloquear JavaScript o VBScript inicien contenido descargado ejecutable

GUID: D3E037E1-3EB8-44C8-A917-57927947596D

Bloquear la ejecución de scripts potencialmente cifrados

Ofuscación script es una técnica común que los creadores de malware y aplicaciones legítimas usan para ocultar la propiedad intelectual o reducir los tiempos de carga de script. Esta regla detecta sospechosas propiedades dentro de un script cifrado.

Nombre de Intune: ofuscados código de macros/js/vbs/ps

Nombre SCCM: bloquear la ejecución de scripts potencialmente cifrados.

GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

Llamadas de bloque API de Win32 desde macros de Office

Office VBA proporciona la capacidad de usar las llamadas de API de Win32, qué código malintencionado puede abuso. La mayoría de las organizaciones no usan esta funcionalidad, pero es posible que siguen dependiendo sobre el uso de otras funcionalidades de macros. Esta regla te permite impedir el uso de API de Win32 en macros VBA, lo que reduce la superficie de ataque.

Nombre de Intune: importaciones de Win32 desde código de macros de Office

Nombre SCCM: llama a bloquear API de Win32 desde macros de Office

GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Bloquear archivos ejecutables que se ejecutan a menos que cumplan una prevalencia, edad o criterio de la lista de confianza

Esta regla bloquea los siguientes tipos de archivo de iniciar a menos que ya sea cumplan criterios de edad o prevalencia, o que estén en una lista de confianza o la lista de exclusión:

  • Archivos ejecutables (como .exe, .dll o .scr)

Nota

Debes Habilitar la protección entregada en la nube para usar esta regla.

Importante

La regla Bloquear archivos ejecutables se ejecuten a menos que cumplan una prevalencia, la edad o el criterio de la lista de confianza con GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 pertenece a Microsoft y no se especifica mediante los administradores de TI. Usa la protección de entrega en la nube para actualizar periódicamente su lista de confianza.

Puedes especificar carpetas o archivos individuales (mediante rutas de acceso de carpetas o nombres de recursos completos), pero no puedes especificar qué reglas o las exclusiones se aplican a.

Nombre de Intune: los archivos ejecutables que no los cumplen una prevalencia, la edad o la lista de confianza criterios.

Nombre SCCM: bloquear archivos ejecutables que se ejecutan a menos que cumplan una prevalencia, la edad o la lista de confianza criterios

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Usar protección avanzada contra ransomware

Esta regla proporciona un nivel adicional de protección contra ransomware. Analiza los archivos ejecutables que entren en el sistema para determinar si son confianza. Si los archivos se asemejan mucho a ransomware, esta regla impide ellos en ejecución, a menos que estén en una lista de confianza o la lista de exclusión.

Nota

Debes Habilitar la protección entregada en la nube para usar esta regla.

Nombre de Intune: ransomware protección avanzada

Nombre SCCM: usar protección contra ransomware avanzada

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Bloquear credential robar desde el subsistema de autoridad de seguridad local (lsass.exe) de Windows

Servicio de subsistema de autoridad de seguridad local (LSASS) autentica a los usuarios que inicien sesión un equipo de Windows. Normalmente, Credential Guard de Windows Defender en Windows 10 evita intentos para extraer las credenciales de LSASS. Sin embargo, algunas organizaciones no pueden habilitar a Credential Guard en todos sus equipos debido a problemas de compatibilidad con controladores de tarjeta inteligente personalizadas u otros programas que se cargan en la autoridad de seguridad Local (LSA). En estos casos, los atacantes pueden usar herramientas como Mimikatz para extraer las contraseñas de texto no cifrado y hash NTLM de LSASS. Esta regla ayuda a mitigar este riesgo bloqueando LSASS.

Nota

En algunas aplicaciones, el código enumera todos los procesos en ejecución e intenta abrirlos con permisos exhaustivas. Esta regla impide la acción de apertura de proceso de la aplicación y registra los detalles en el registro de eventos de seguridad. Esta regla puede generar una gran cantidad de ruido. Si tienes una aplicación que enumera excesivamente LSASS, debes agregarlo a la lista de exclusión. Por sí mismo, esta entrada de registro de eventos no indica necesariamente una amenaza malintencionada.

Nombre de Intune: credential marca robar desde el subsistema de autoridad de seguridad local de Windows

Nombre SCCM: credential bloque robar desde el subsistema de autoridad de seguridad local de Windows

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Creaciones de proceso de bloque procedentes de comandos PSExec y WMI

Esta regla bloquea los procesos mediante comandos de PsExec y WMI de ejecución, para evitar la ejecución de código remoto que se puede extender los ataques de malware.

Importante

Exclusiones de archivos y carpetas no se aplican a esta regla de reducción de superficie de ataque.

Advertencia

Solo puede usar esta regla si está administrando sus dispositivos con Intune u otra solución de MDM. Esta regla no es compatible con administración a través de System Center Configuration Manager porque los comandos de WMI de esta regla bloquea que el cliente SCCM usa para funcionar correctamente.

Nombre de Intune: proceso de creación de comandos PSExec y WMI

Nombre SCCM: no se aplica

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Bloquear sin firmar y no de confianza de los procesos que se ejecutan desde el USB

Con esta regla, los administradores de TI pueden impedir que sin firmar o no de confianza de los archivos ejecutables que se ejecuta desde las unidades extraíbles USB, incluidas las tarjetas SD. Bloqueado incluyen tipos de archivo:

  • Archivos ejecutables (como .exe, .dll o .scr)
  • Archivos de script (por ejemplo, un archivo .ps de PowerShell, un .vbs de VisualBasic o un .js de JavaScript)

Nombre de Intune: no es de confianza y sin firmar los procesos que se ejecutan desde el USB

Nombre SCCM: bloque no son de confianza y sin firmar los procesos que se ejecutan desde el USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Bloquear la aplicación de comunicaciones de Office cree procesos secundarios

Esta regla impide que Outlook cree procesos secundarios. Protege contra los ataques de ingeniería social e impide que el código de la vulnerabilidad de seguridad abuse de una vulnerabilidad en Outlook. Para lograr esto, la regla impide el inicio de una carga adicional mientras se permite legítimas funciones de Outlook. También protege contra ataques mediante las reglas de Outlook y los formularios que los atacantes pueden usar cuando se ponen en peligro las credenciales del usuario.

Nota

Esta regla solo se aplica a Outlook y Outlook.com.

Nombre de Intune: proceso de creación de productos de comunicación de Office (beta)

Nombre SCCM: no están aún disponibles

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Bloque de Adobe Reader cree procesos secundarios

A través de ingeniería social o las vulnerabilidades de seguridad, malware puede descargar y ejecutar cargas adicionales e interrumpe Adobe Reader. Esta regla impide ataques como esta mediante el bloqueo de Adobe Reader desde la creación de procesos adicionales.

Nombre de Intune: proceso de creación de Adobe Reader (beta)

Nombre SCCM: no se aplica

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Persistencia del bloque a través de la suscripción de eventos WMI

Amenazas fileless emplean diversas tácticas para permanecer oculto, para evitar que se ve en el sistema de archivos y obtener el control de ejecución periódica. Algunas de las amenazas pueden abuso el modelo de eventos y el repositorio WMI para permanecer oculto. Con esta regla, los administradores pueden evitar las amenazas que abuso WMI para conservar y permanecer oculto en el repositorio WMI.

Nombre de Intune: bloquear la persistencia a través de la suscripción de eventos WMI

Nombre SCCM: no están aún disponibles

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Temas relacionados