Reducir las superficies de ataque con reglas de reducción de superficie de ataque

Se aplica a:

Importante

Parte de la información hace referencia a la versión preliminar del producto, el cual puede sufrir importantes modificaciones antes de que se publique la versión comercial. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información que se ofrece aquí.

Las reglas de reducción de superficie de ataques ayudan a prevenir comportamientos que usan con frecuencia el malware para infectar equipos con código malintencionado. Puede establecer reglas de reducción de superficie de ataque para equipos que ejecuten Windows 10, versiones 1704 y 1709, o versiones posteriores, Windows Server 2016 1803 o posterior, o Windows Server 2019.

Para usar las reglas de reducción de superficie de ataque, necesitas una licencia de Windows 10 Enterprise. Si tiene una licencia de Windows E5, le proporciona las funciones de administración avanzada para potenciarlas. Esto incluye Supervisión, análisis y flujos de trabajo disponibles en protección contra amenazas avanzada de Microsoft defender, así como capacidades de configuración e informes en el centro de seguridad de Microsoft 365. Estas capacidades avanzadas no están disponibles con una licencia E3 o con Windows 10 Enterprise sin suscripción, pero puede usar los eventos de la regla de reducción de superficie de ataques en el visor de eventos para facilitar la implementación.

Las reglas de reducción de la superficie de ataque objetivo son comportamientos que los programas maliciosos y malintencionados usan normalmente para infectar equipos, como:

  • Archivos ejecutables y scripts, usados en las aplicaciones de Office o el correo web, que intentan descargar o ejecutar archivos
  • Secuencias de comandos confusas o sospechosas
  • Comportamientos que las aplicaciones no suelen iniciar durante el trabajo cotidiano normal

Puede usar el modo auditoría para evaluar el impacto de las reglas de reducción de superficie de ataque en su organización si estuvieran habilitadas. Es mejor ejecutar todas las reglas en el modo auditoría en primer lugar para poder comprender su impacto en las aplicaciones de línea de negocio. Muchas aplicaciones de línea de negocio están escritas con problemas de seguridad limitados y pueden llevar a cabo tareas similares a las de malware. Mediante la supervisión de datos de auditoría y la incorporación de exclusiones para las aplicaciones necesarias, puede implementar reglas de reducción de superficie de ataque sin afectar la productividad.

Las reglas desencadenadas muestran una notificación en el dispositivo. Puedes personalizar la notificación con los detalles y la información de contacto de tu empresa. La notificación también se muestra en el centro de seguridad de Microsoft defender y en el centro de securty de Microsoft 365.

Para obtener información sobre cómo configurar las reglas de reducción de superficie de ataques, consulte habilitar las reglas de reducción de superficie de ataques.

Revisar los eventos de reducción de superficie de ataque en el visor de eventos de Windows

Puede revisar el registro de eventos de Windows para ver los eventos que se crean cuando se activan las reglas de reducción de superficie de ataques:

  1. Descarga el Paquete de evaluación de protección frente a vulnerabilidades y extrae el archivo cfa-events.xml en una ubicación de fácil acceso del equipo.

  2. Escriba visor de eventos en el menú Inicio para abrir el visor de eventos de Windows.

  3. Haga clic en importar vista personalizada... en el panel izquierdo, en acciones.

  4. Seleccione el archivo CFA-Events. XML desde donde se extrajo. Como alternativa, copia directamente el XML.

  5. Haz clic en Aceptar.

Esto creará una vista personalizada que filtra para mostrar únicamente los siguientes eventos relacionados con el acceso controlado a carpetas:

Id. de evento Descripción
5007 Evento al cambiar la configuración
1121 Evento cuando se dispara la regla en modo de bloqueo
1122 Evento cuando se dispara la regla en modo auditoría

La "versión del motor" de los eventos de reducción de la superficie de ataque en el registro de eventos se genera por Microsoft defender ATP, no por el sistema operativo. La ATP de Microsoft defender está integrada en Windows 10, por lo que esta característica funciona en todos los equipos con Windows 10 instalado.

Reglas de Reducción de superficie expuesta a ataques

En las siguientes secciones se describe cada una de las 15 reglas de reducción de superficie de ataques. En esta tabla se muestran sus GUID correspondientes, que se usan si está configurando las reglas con la Directiva de grupo o PowerShell. Si usa System Center Configuration Manager o Microsoft Intune, no necesita los GUID:

Nombre de regla GUID Exclusiones de carpetas & archivos
Bloquear contenido ejecutable del cliente de correo electrónico y el correo web BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 Compatible
Bloquear la creación de procesos secundarios en todas las aplicaciones de Office D4F940AB-401B-4EFC-AADC-AD5F3C50688A Compatible
Bloquear la creación de contenido ejecutable por parte de las aplicaciones de Office 3B576869-A4EC-4529-8536-B80A7769E899 Compatible
Bloquear la inyección de código en otros procesos por parte de las aplicaciones de Office 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 Compatible
Bloquear JavaScript o VBScript para que no inicien contenido descargado ejecutable D3E037E1-3EB8-44C8-A917-57927947596D No se admite
Bloquear la ejecución de scripts potencialmente cifrados 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC Compatible
Bloquear llamadas de API de Win32 desde macros de Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B Compatible
Bloquear la ejecución de los archivos ejecutables a menos que cumplan con un criterio de predominio, edad o lista de confianza 01443614-CD74-433a-b99e-2ecdc07bfc25 Compatible
Usar protección avanzada contra ransomware c1db55ab-c21a-4637-bb3f-a12568109d35 Compatible
Bloquear el robo de credenciales del subsistema de la autoridad de seguridad local de Windows (LSASS. exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Compatible
Bloquear creaciones de procesos originadas por comandos de PSExec y WMI d1e49aac-8f56-4280-b9ba-993a6d77406c No se admite
Bloquear procesos no confiables y no asignados que se ejecutan desde USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Compatible
Bloquear la creación de procesos secundarios en la aplicación de comunicación de Office 26190899-1602-49e8-8b27-eb1d0a1ce869 Compatible
Bloquear la creación de procesos secundarios en Adobe Reader 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Compatible
Bloquear la persistencia mediante la suscripción de eventos WMI e6db77e5-3df2-4cf1-b95a-636979351e5b No se admite

Cada descripción de regla indica qué aplicaciones o tipos de archivo se aplican a la regla. En general, las reglas de las aplicaciones de Office solo se aplican a Word, Excel, PowerPoint y OneNote, o se aplican a Outlook. Excepto cuando se especifique, las reglas de reducción de superficie de ataque no se aplican a ninguna otra aplicación de Office.

Bloquear contenido ejecutable del cliente de correo electrónico y el correo web

Esta regla impide que los siguientes tipos de archivo se inicien desde el correo electrónico en Microsoft Outlook o Outlook.com y en otros proveedores de webmail conocidos:

  • Archivos ejecutables (como .exe, .dll o .scr)
  • Archivos de script (por ejemplo, un archivo .ps de PowerShell, un .vbs de VisualBasic o un .js de JavaScript)

Nombre de Intune: ejecución del contenido ejecutable (exe, dll, PS, JS, vbs, etc.) quitado del correo electrónico (Webmail/cliente de correo) (sin excepciones)

Nombre de SCCM: bloquear contenido ejecutable del cliente de correo electrónico y Webmail

GUID: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

Bloquear la creación de procesos secundarios en todas las aplicaciones de Office

Esta regla impide que las aplicaciones de Office creen procesos secundarios. Esto incluye Word, Excel, PowerPoint, OneNote y Access.

Este es un comportamiento típico de malware, especialmente el malware, que abusa el abuso de Office como un vector, con macros de VBA y código de abuso para descargar e intentar ejecutar otras cargas adicionales. Algunas aplicaciones de línea de negocio legítimas también podrían usar comportamientos como este, como la creación de un símbolo del sistema o el uso de PowerShell para establecer la configuración del registro.

Intune nombre: aplicaciones de Office que inician procesos secundarios

Nombre de SCCM: bloquear la aplicación de Office para crear procesos secundarios

GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Bloquear la creación de contenido ejecutable por parte de las aplicaciones de Office

Esta regla impide que las aplicaciones de Office, incluidas Word, Excel y PowerPoint, creen contenido ejecutable.

Esta regla se destina a un comportamiento típico en el que el código malintencionado usa Office como un vector para romper fuera de la oficina y guardar componentes maliciosos en el disco, donde persisten y sobrevivir un reinicio del equipo. Esta regla evita que se escriba código malicioso en el disco.

Nombre de Intune: aplicaciones o macros de Office que crean contenido ejecutable

Nombre de SCCM: impedir que las aplicaciones de Office creen contenido ejecutable

GUID: 3B576869-A4EC-4529-8536-B80A7769E899

Bloquear la inyección de código en otros procesos por parte de las aplicaciones de Office

Es posible que los atacantes intenten usar las aplicaciones de Office para migrar código malicioso a otros procesos mediante la inserción de código, por lo que el código puede enmascararse como proceso de limpieza. Esta regla bloquea los intentos de inserción de código de las aplicaciones de Office en otros procesos. No hay ningún propósito empresarial legítimo conocido para usar la inserción de código.

Esta regla se aplica a Word, Excel y PowerPoint.

Intune Name: aplicaciones de Office inyectar código en otros procesos (sin excepciones)

Nombre de SCCM: bloquear las aplicaciones de Office para que no inserten código en otros procesos

GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Bloquear JavaScript o VBScript para que no inicien contenido descargado ejecutable

Con frecuencia, el malware usa scripts de JavaScript y VBScript para iniciar otras aplicaciones malintencionadas.

A menudo, el malware escrito en JavaScript o VBS actúa como un descargador para obtener e iniciar carga nativa adicional desde Internet. Esta regla evita que los scripts inicien contenido descargado, lo que ayuda a evitar el uso malintencionado de los scripts para propagar malware e infectar equipos. Esto no es un uso común de la línea de negocio, pero a veces las aplicaciones de línea de negocio usan secuencias de comandos para descargar e iniciar instaladores. Puede excluir scripts para que puedan ejecutarse.

Importante

Las exclusiones de archivos y carpetas no se aplican a esta regla de reducción de la superficie de ataques.

Nombre de Intune: JS/VBS ejecutando carga descargada de Internet (sin excepciones)

Nombre de SCCM: bloquear JavaScript o VBScript para que no inicie contenido ejecutable descargado

GUID: D3E037E1-3EB8-44C8-A917-57927947596D

Bloquear la ejecución de scripts potencialmente cifrados

La ofuscación de script es una técnica común que los autores de malware y las aplicaciones legítimas usan para ocultar la propiedad intelectual o reducir los tiempos de carga de script. Esta regla detecta propiedades sospechosas dentro de una secuencia de comandos confusa.

Entune nombre: ofuscado JS/VBS/PS/código de macro

Nombre de SCCM: bloquear la ejecución de scripts que se pueden ofuscar.

GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

Bloquear llamadas de la API Win32 desde macros de Office

Office VBA ofrece la capacidad de usar llamadas de API Win32, que pueden abusos del código malintencionado. La mayoría de las organizaciones no usan esta funcionalidad, pero es posible que sigan usando otras funciones de macro. Esta regla le permite evitar usar las API de Win32 en macros de VBA, lo que reduce la superficie de ataque.

Nombre de Intune: importaciones de Win32 desde código de macro de Office

Nombre de SCCM: bloquear llamadas de la API de Win32 desde macros de Office

GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Bloquear la ejecución de los archivos ejecutables a menos que cumplan con un criterio de predominio, edad o lista de confianza

Esta regla impide que los siguientes tipos de archivo se inicien a menos que cumplan los criterios de prevalencia o de edad, o estén en una lista de confianza o lista de exclusión:

  • Archivos ejecutables (como .exe, .dll o .scr)

Nota

Para usar esta regla, debe Habilitar la protección proporcionada por la nube .

Importante

Los archivos ejecutables de bloqueo de regla se ejecutan a menos que cumplan con un criterio de predominio, edad o lista de confianza con GUID 01443614-CD74-433a-b99e-2ecdc07bfc25 es propiedad de Microsoft y los administradores no lo especifican. Usa la protección proporcionada por la nube para actualizar su lista de confianza de forma regular.

Puede especificar carpetas o archivos concretos (con rutas de carpeta o nombres de recursos completos), pero no puede especificar las reglas o exclusiones a las que se aplican.

Nombre de Intune: ejecutables que no cumplen con los criterios de predominio, edad o lista de confianza.

Nombre de SCCM: bloquear la ejecución de los archivos ejecutables, a menos que cumplan con un criterio de predominio, edad o lista de confianza

GUID: 01443614-CD74-433a-b99e-2ecdc07bfc25

Usar protección avanzada contra ransomware

Esta regla proporciona un nivel adicional de protección contra ransomware. Analiza los archivos ejecutables que entran en el sistema para determinar si son dignos de confianza. Si los archivos son muy similares a ransomware, esta regla impide que se ejecuten, a menos que se encuentren en una lista de confianza o lista de exclusión.

Nota

Para usar esta regla, debe Habilitar la protección proporcionada por la nube .

Nombre de Intune: protección avanzada contra ransomware

Nombre de SCCM: usar protección avanzada contra ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Bloquear el robo de credenciales del subsistema de la autoridad de seguridad local de Windows (LSASS. exe)

El servicio de subsistema de administración de seguridad local (LSASS) autentica a los usuarios que inician sesión en un equipo con Windows. Microsoft defender Credential Guard en Windows 10 normalmente impide que se intenten extraer las credenciales de LSASS. Sin embargo, algunas organizaciones no pueden habilitar Credential Guard en todos sus equipos debido a problemas de compatibilidad con controladores de tarjeta inteligente personalizados u otros programas que se cargan en la autoridad de seguridad local (LSA). En estos casos, los atacantes pueden usar herramientas como Mimikatz para redondear contraseñas de texto no cifrado y hash de NTLM de LSASS. Esta regla ayuda a mitigar ese riesgo mediante el bloqueo de LSASS.

Nota

En algunas aplicaciones, el código enumera todos los procesos en ejecución e intenta abrirlos con permisos exhaustivos. Esta regla deniega la acción de apertura del proceso de la aplicación y registra los detalles en el registro de eventos de seguridad. Esta regla puede generar mucho ruido. Si tiene una aplicación que enumera a LSASS, debe agregarla a la lista de exclusión. Por sí mismo, esta entrada del registro de eventos no indica necesariamente una amenaza malintencionada.

Nombre de Intune: marcar credencial de robo del subsistema de autoridad de seguridad local de Windows

Nombre de SCCM: bloquear el robo de credenciales del subsistema de la autoridad de seguridad local de Windows

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Bloquear creaciones de procesos originadas por comandos de PSExec y WMI

Esta regla impide que se ejecuten los procesos mediante comandos de PsExec y WMI, para evitar la ejecución de código remoto que puede propagar ataques de malware.

Importante

Las exclusiones de archivos y carpetas no se aplican a esta regla de reducción de superficie de ataques.

Advertencia

Use esta regla solo si está administrando sus dispositivos con Intune u otra solución MDM. Esta regla no es compatible con la administración a través de System Center Configuration Manager porque esta regla bloquea los comandos WMI que usa el cliente SCCM para funcionar correctamente.

Nombre de Intune: creación de proceso desde los comandos de PSExec y WMI

Nombre de SCCM: no aplicable

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Bloquear procesos no confiables y no asignados que se ejecutan desde USB

Con esta regla, los administradores pueden impedir que se ejecuten archivos ejecutables no firmados o que no son de confianza desde unidades extraíbles USB, incluidas las tarjetas SD. Los tipos de archivos bloqueados son:

  • Archivos ejecutables (como .exe, .dll o .scr)
  • Archivos de script (por ejemplo, un archivo .ps de PowerShell, un .vbs de VisualBasic o un .js de JavaScript)

Nombre de Intune: procesos no confiables y no firmados que se ejecutan desde USB

Nombre de SCCM: bloquear procesos no confiables y no firmados que se ejecutan desde USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Bloquear la creación de procesos secundarios en la aplicación de comunicación de Office

Esta regla impide que Outlook cree procesos secundarios. Protege contra los ataques de estratagemas sociales y evita que el código explotante Aproveche una vulnerabilidad de Outlook. Para ello, la regla evita que se inicie una carga adicional y permite funciones legítimas de Outlook. También ofrece protección contra las reglas de Outlook y los usos de los formularios que los atacantes pueden usar cuando las credenciales de un usuario se ponen en peligro.

Nota

Esta regla solo se aplica a Outlook y Outlook.com.

Nombre de Intune: creación de proceso de productos de comunicaciones de Office (beta)

Nombre de SCCM: aún no disponible

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Bloquear la creación de procesos secundarios en Adobe Reader

A través de la ingeniería social o de ataques, el malware puede descargar e iniciar cargas adicionales y salir de Adobe Reader. Esta regla evita que se produzcan ataques como este al bloquear Adobe Reader para que no cree procesos adicionales.

Nombre de Intune: creación de proceso de Adobe Reader (beta)

Nombre de SCCM: no aplicable

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Bloquear la persistencia mediante la suscripción de eventos WMI

Las amenazas sin archivar utilizan diversas tácticas para estar ocultas, para evitar que se vean en el sistema de archivos y para obtener control de ejecución periódico. Algunas amenazas pueden abusar el repositorio WMI y el modelo de eventos para mantenerse ocultos. Con esta regla, los administradores pueden evitar las amenazas que abusan de WMI para conservarlos y permanecer ocultos en el repositorio de WMI.

Nombre de Intune: bloquear la persistencia mediante la suscripción de eventos WMI

Nombre de SCCM: aún no disponible

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Temas relacionados