Personalizar las reglas de reducción de superficie de ataque

Se aplica a:

Reducción de superficie reglas ayudan a evitar acciones y aplicaciones que usan normalmente el malware que busca vulnerabilidades de seguridad para infectar los equipos. Las reglas de reducción de superficie de ataque se admiten en Windows Server 2019, así como los clientes de Windows 10.

En este tema se describe cómo personalizar las reglas de reducción de superficie de ataque excluir archivos y carpetas o agregando texto personalizado a la notificación de alerta que aparece en el equipo del usuario.

Puedes usar la directiva de grupo, PowerShell y los CSP de MDM para configurar esta configuración.

Excluir carpetas y archivos

Puedes excluir archivos y carpetas de su evaluación por todas las reglas de reducción de superficie de ataque. Esto significa que, incluso si el archivo o carpeta contiene un comportamiento malintencionado determinado por una regla de reducción de superficie de ataque, no se bloqueará el archivo de ejecución.

Esto podría permitir potencialmente la ejecución de archivos no seguros y la infección de tus dispositivos.

Advertencia

Excluir archivos o carpetas puede reducir gravemente la protección proporcionada por las reglas de reducción de superficie de ataque. Se permitirá la ejecución de los archivos que se habrían bloqueado por una regla y no habrá ningún informe o evento registrado.

Si tienes problemas con las reglas de detección de archivos que crees que no deben detectarse, deberías usar el modo de auditoría en primer lugar para probar la regla.

Puedes especificar carpetas o archivos individuales (mediante rutas de acceso de carpetas o nombres de recursos completos), pero no puedes especificar si las exclusiones solo deben aplicarse a reglas individuales: las exclusiones se aplicarán a todas las reglas que están habilitadas (o puestas en modo auditoría) y que permiten exclusiones.

Reducción de superficie de ataque es compatible con comodines ni variables de entorno. Para obtener información sobre el uso de caracteres comodín, vea usar caracteres comodín en el archivo nombre y una carpeta ruta de acceso o la extensión listas de exclusión.

Las exclusiones se aplicarán a todas las reglas de reducción de superficie de ataque.

Descripción de regla GUID
Bloquear todas las aplicaciones de Office cree procesos secundarios D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Bloquear la ejecución de scripts potencialmente cifrados 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Bloquear llamadas de API de Win32 desde macros de Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
Bloquear la creación de contenido ejecutable por parte de las aplicaciones de Office 3B576869-A4EC-4529-8536-B80A7769E899
Bloquear la inyección de código en otros procesos por parte de las aplicaciones de Office 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84
Bloquear JavaScript o VBScript para que no inicien contenido descargado ejecutable D3E037E1-3EB8-44C8-A917-57927947596D
Bloquear contenido ejecutable del cliente de correo electrónico y el correo web BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Bloquear archivos ejecutables que se ejecutan a menos que cumplan una prevalencia, la edad o la lista de confianza criterios 01443614-cd74-433a-b99e-2ecdc07bfc25
Usar protección avanzada contra ransomware c1db55ab-c21a-4637-bb3f-a12568109d35
Bloquear credential robar desde el subsistema de autoridad de seguridad local (lsass.exe) de Windows 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Creaciones de proceso de bloque procedentes de comandos PSExec y WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Bloquear sin firmar y no de confianza de los procesos que se ejecutan desde el USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Bloquear las aplicaciones de comunicación de Office cree procesos secundarios 26190899-1602-49e8-8b27-eb1d0a1ce869
Bloque de Adobe Reader cree procesos secundarios 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Consulta el tema de reducción de superficie expuesta a ataques para obtener más información sobre cada regla.

Usar la directiva de grupos para excluir archivos y carpetas

  1. En el equipo de administración de directivas de grupo, abre la Consola de administración de directivas de grupo, haz clic en el objeto de directiva de grupo que quieras configurar y haz clic en Editar.

  2. En el Editor de administración de directivas de grupo ve a Configuración del equipo y haga clic en plantillas administrativas.

  3. Expande el árbol a Componentes de Windows > Antivirus de Windows Defender > Protección contra vulnerabilidades de seguridad de Windows Defender > Reducción de superficie expuesta a ataques.

  4. Haz doble clic en la configuración Excluir archivos y rutas de acceso de las reglas de reducción de superficie expuesta a ataques y establece la opción en Habilitado. Haz clic en Mostrar e introduce cada archivo o carpeta en la columna Nombre de valor. Escribe 0 en la columna Valor para cada elemento.

Usar PowerShell para excluir archivos y carpetas

  1. Haz clic en powershell, en el menú Inicio, haz clic con el botón derecho en Windows PowerShell y haz clic en Ejecutar como administrador.
  2. Introduce el cmdlet siguiente:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

Sigue usando Add-MpPreference -AttackSurfaceReductionOnlyExclusions para agregar más carpetas a la lista.

Importante

Usa Add-MpPreference para anexar o agregar aplicaciones a la lista. Al usar el cmdlet Set-MpPreference, se sobrescribirá la lista existente.

Usar los CSP de MDM para excluir carpetas y archivos

Usa el ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions proveedor de servicios de configuración (CSP) para agregar exclusiones.

Personalizar la notificación

Consulta el tema de Seguridad de Windows para obtener más información sobre cómo personalizar la notificación cuando una regla se desencadena y bloquea una aplicación o un archivo.

Artículos relacionados