Personalizar las reglas de reducción de superficie de ataque

Se aplica a:

Importante

Parte de la información hace referencia a la versión preliminar del producto, el cual puede sufrir importantes modificaciones antes de que se publique la versión comercial. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información que se ofrece aquí.

Las reglas de reducción de superficie de ataques ayudan a evitar las acciones y aplicaciones que suelen usar los ataques de malware para infectar equipos. Las reglas de reducción de superficie de ataques son compatibles con los clientes Windows Server 2019 y Windows 10.

En este tema se describe cómo personalizar las reglas de reducción de la superficie de ataques excluyendo archivos y carpetas o agregando texto personalizado a la alerta de notificación que aparece en el equipo de un usuario.

Puedes usar la directiva de grupo, PowerShell y los CSP de MDM para configurar esta configuración.

Excluir carpetas y archivos

Puede excluir los archivos y las carpetas de las reglas de reducción de la superficie de ataque para evaluarlos. Esto significa que aunque una regla de reducción de la superficie de ataques detecte que el archivo contiene comportamientos maliciosos, no se bloqueará el archivo para que no se ejecute.

Advertencia

Esto podría permitir potencialmente la ejecución de archivos no seguros y la infección de tus dispositivos. La exclusión de archivos o carpetas puede reducir gravemente la protección proporcionada por las reglas de reducción de la superficie de ataques. Se permitirá la ejecución de los archivos que se habrían bloqueado por una regla y no habrá ningún informe o evento registrado.

Se aplica una exclusión a todas las reglas que admiten exclusiones. Puede especificar un archivo individual, una ruta de acceso a la carpeta o el nombre de dominio completo de un recurso, pero no puede limitar una exclusión a determinadas reglas.

Una exclusión solo se aplica cuando se inicia la aplicación o el servicio excluidos. Por ejemplo, si agrega una exclusión para un servicio de actualización que ya se está ejecutando, el servicio de actualización seguirá desencadenando eventos hasta que el servicio se detenga y se reinicie.

La reducción de la superficie de ataques admite variables de entorno y caracteres comodín. Para obtener información sobre el uso de caracteres comodín, vea usar caracteres comodín en las listas nombre de archivo y ruta de la carpeta o exclusión de extensiones. Si tienes problemas con las reglas de detección de archivos que crees que no deben detectarse, deberías usar el modo de auditoría en primer lugar para probar la regla.

Descripción de regla GUID
Bloquear la creación de procesos secundarios en todas las aplicaciones de Office D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Bloquear la ejecución de scripts potencialmente cifrados 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Bloquear llamadas de API de Win32 desde macros de Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
Bloquear la creación de contenido ejecutable por parte de las aplicaciones de Office 3B576869-A4EC-4529-8536-B80A7769E899
Bloquear la inyección de código en otros procesos por parte de las aplicaciones de Office 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84
Bloquear JavaScript o VBScript para que no inicien contenido descargado ejecutable D3E037E1-3EB8-44C8-A917-57927947596D
Bloquear contenido ejecutable del cliente de correo electrónico y el correo web BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Bloquear la ejecución de los archivos ejecutables a menos que cumplan con un criterio de predominio, edad o lista de confianza 01443614-CD74-433a-b99e-2ecdc07bfc25
Usar protección avanzada contra ransomware c1db55ab-c21a-4637-bb3f-a12568109d35
Bloquear el robo de credenciales del subsistema de la autoridad de seguridad local de Windows (LSASS. exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloquear creaciones de procesos originadas por comandos de PSExec y WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Bloquear procesos no confiables y no asignados que se ejecutan desde USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Bloquear la creación de procesos secundarios en las aplicaciones de comunicación de Office 26190899-1602-49e8-8b27-eb1d0a1ce869
Bloquear la creación de procesos secundarios en Adobe Reader 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Bloquear la persistencia mediante la suscripción de eventos WMI e6db77e5-3df2-4cf1-b95a-636979351e5b

Para obtener más información sobre cada regla, consulta el tema de reducción de superficie de ataques .

Usar la directiva de grupos para excluir archivos y carpetas

  1. En el equipo de administración de directivas de grupo, abra la consola de administración de directivasde grupo, haga clic con el botón secundario en el objeto de directiva de grupo que desea configurar y haga clic en Editar.

  2. En el Editor de administración de directivas de grupo , vaya a configuración del equipo y haga clic en plantillas administrativas.

  3. Expande el árbol a Componentes de Windows > Antivirus de Windows Defender > Protección contra vulnerabilidades de seguridad de Windows Defender > Reducción de superficie expuesta a ataques.

  4. Haz doble clic en la configuración Excluir archivos y rutas de acceso de las reglas de reducción de superficie expuesta a ataques y establece la opción en Habilitado. Haz clic en Mostrar e introduce cada archivo o carpeta en la columna Nombre de valor. Escribe 0 en la columna Valor para cada elemento.

Usar PowerShell para excluir archivos y carpetas

  1. Escriba PowerShell en el menú Inicio, haga clic con el botón derecho en Windows PowerShell y haga clic en Ejecutar como administrador .
  2. Introduce el cmdlet siguiente:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

Sigue usando Add-MpPreference -AttackSurfaceReductionOnlyExclusions para agregar más carpetas a la lista.

Importante

Usa Add-MpPreference para anexar o agregar aplicaciones a la lista. Al usar el cmdlet Set-MpPreference, se sobrescribirá la lista existente.

Usar los CSP de MDM para excluir carpetas y archivos

Usa el ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions proveedor de servicios de configuración (CSP) para agregar exclusiones.

Personalizar la notificación

Consulte el tema de seguridad de Windows para obtener más información sobre la personalización de la notificación cuando se desencadena una regla y se bloquea una aplicación o un archivo.

Temas relacionados