Habilitar las reglas de reducción de superficie de ataque

Las reglas de reducción de superficie de ataque ayuda a evitar acciones y aplicaciones que el malware se usa a menudo para infectar equipos. Puedes establecer las reglas de reducción de superficie de ataque para equipos que ejecutan Windows 10 o Windows Server 2019.

Cada regla ASR contiene tres opciones de configuración:

  • No configurado: deshabilitar la regla ASR
  • Block: Habilitar la regla ASR
  • Auditoría: Evaluar cómo la regla ASR afectaría a la organización si habilitado

Para usar las reglas ASR, necesitas un Windows 10 Enterprise E3 o E5 licencia. Se recomienda una licencia de E5 para poder realizar las ventajas de la supervisión avanzada y funcionalidades de informes disponibles en protección contra amenazas avanzada Microsoft Defender (ATP de Defender de Microsoft). Estas funcionalidades avanzadas no están disponibles con una licencia de E3, pero puedes desarrollar tu propia supervisión e informes de herramientas para usar junto con las reglas ASR.

Puedes habilitar las reglas de reducción de superficie de ataque mediante el uso de cualquiera de estos métodos:

Se recomienda la administración de nivel empresarial como Intune o SCCM. Administración de nivel empresarial sobrescribirá cualquier configuración de directiva de grupo o PowerShell en conflicto en Inicio.

Excluir archivos y carpetas de las reglas ASR

Puedes excluir archivos y carpetas de su evaluación por la mayoría de las reglas de reducción de superficie de ataque. Esto significa que incluso si una regla ASR determina que el archivo o carpeta contiene un comportamiento malintencionado, no bloqueará la ejecución del archivo. Esto podría permitir potencialmente la ejecución de archivos no seguros y la infección de tus dispositivos.

Advertencia

Excluir archivos o carpetas puede reducir gravemente la protección proporcionada por las reglas ASR. Archivos excluidos poder ejecutarse, y no se registrará ningún informe o evento.

Si las reglas ASR se detectan archivos que crees que no debe detectarse, debes usar el modo auditoría en primer lugar para probar la regla.

Importante

Exclusiones de archivos y carpetas no se aplican a las siguientes reglas ASR:

  • Creaciones de proceso de bloque procedentes de comandos PSExec y WMI
  • Bloquear JavaScript o VBScript para que no inicien contenido descargado ejecutable

Puedes especificar carpetas o archivos individuales (mediante rutas de acceso de carpetas o nombres de recursos completos), pero no puedes especificar que las exclusiones se aplican las reglas para. Una exclusión se aplica solo cuando cuando se inicia la aplicación excluida o el servicio. Por ejemplo, si agregas una exclusión para un servicio de actualización que ya se está ejecutando, el servicio de actualización seguirán desencadenar eventos hasta que se detiene y reinicia el servicio.

Las reglas de ASR admiten comodines ni variables de entorno. Para obtener información sobre el uso de caracteres comodín, vea usar caracteres comodín en el archivo nombre y una carpeta ruta de acceso o la extensión listas de exclusión.

Los siguientes procedimientos para habilitar reglas ASR incluyen instrucciones para excluir archivos y carpetas.

Intune

  1. En Intune, selecciona la Configuración del dispositivo > perfiles. Elegir un perfil de protección de puntos de conexión existente o crear uno nuevo. Para crear una nueva, selecciona Crear perfil y escribe información para este perfil. Tipo de perfil, selecciona Endpoint protection. Si has elegido un perfil existente, selecciona Propiedades y, a continuación, selecciona la configuración.

  2. En el panel de Endpoint protection , selecciona la Protección contra vulnerabilidades de seguridad de Windows Defendery luego selecciona la Reducción de superficie de ataque. Selecciona la configuración deseada para cada regla ASR.

  3. En las excepciones de reducción de superficie de ataque, puedes escribir archivos y carpetas individuales o puedes seleccionar Importar para importar un archivo CSV que contiene los archivos y carpetas que se excluirán de las reglas ASR. Cada línea en el archivo CSV debe estar en el siguiente formato:

    C:\Folder, %ProgramFiles%\folder\file, C:\path

  4. Selecciona Aceptar en los paneles de tres configuraciones y luego selecciona crear si vas a crear un nuevo archivo de protección de puntos de conexión o Guardar si va a modificar una ya existente.

MDM

Usa el ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules proveedor de servicios de configuración (CSP) para habilitar individualmente y establecer el modo para cada regla.

El siguiente es un ejemplo como referencia, con valores de GUID de reglas ASR.

Ruta de acceso de OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Valor: {75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84} = 2 | {3B576869-A4EC-4529-8536-B80A7769E899} = 1 | {D4F940AB-401B-4EfC-AADC-AD5F3C50688A} = 2 | {D3E037E1-3EB8-44C8-A917-57927947596D} = 1 | {5BEB7EFE-FD9A-4556-801D-275E5FFC04CC} = 0 | {BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550} = 1

Los valores para habilitar, deshabilitar o habilitar en modo auditoría son:

  • Deshabilitar = 0
  • Bloque (habilitar ASR regla) = 1
  • Auditoría = 2

Usa el ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions proveedor de servicios de configuración (CSP) para agregar exclusiones.

Ejemplo:

Ruta de acceso de OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Valor: c:\path|e:\path|c:\Whitelisted.exe

Nota

Asegúrate de especificar valores de configuración OMA-URI sin espacios en blanco.

SCCM

  1. En System Center Configuration Manager, haz clic en activos y compatibilidad > Endpoint Protection > Protección contra vulnerabilidades de seguridad de Windows Defender.
  2. Haga clic en Inicio > Crear directiva de protección contra vulnerabilidades de seguridad.
  3. Escribe un nombre y una descripción, haz clic en La reducción de superficie de ataquey haz clic en siguiente.
  4. Elige qué reglas se bloquearán o auditar las acciones y haz clic en siguiente.
  5. Revisa la configuración y haga clic en siguiente para crear la directiva.
  6. Después de crea la directiva, haz clic en Cerrar.

Directiva de grupo

Advertencia

Si administras tus equipos y dispositivos con Intune, SCCM u otra plataforma de administración de nivel empresarial, el software de administración sobrescribirá cualquier configuración de directiva de grupo en conflicto en Inicio.

  1. En el equipo de administración de directivas de grupo, abre la Consola de administración de directivas de grupo, haz clic en el objeto de directiva de grupo que quieras configurar y haz clic en Editar.

  2. En el Editor de administración de directivas de grupo ve a Configuración del equipo y haga clic en plantillas administrativas.

  3. Expande el árbol a componentes de Windows > Antivirus de Windows Defender > Protección contra vulnerabilidades de seguridad de Windows Defender > superficie expuesta a ataques.

  4. Seleccionar las reglas de reducción de superficie de ataque configurar y selecciona habilitado. Luego puedes establecer el estado individual para cada regla en la sección Opciones:

    • Haz clic en Mostrar... y escribe el identificador de la regla en la columna Nombre de valor y tu estado deseado en la columna Valor de la manera siguiente:

      • Deshabilitar = 0
      • Bloque (habilitar ASR regla) = 1
      • Auditoría = 2

      Configuración de directiva de grupo que muestra un valor de 1 y el Id. de regla de reducción de superficie de ataque en blanco

  5. Para excluir archivos y carpetas de las reglas ASR, selecciona la configuración de excluir archivos y rutas de acceso de las reglas de reducción de superficie de ataque y establece la opción como habilitado. Haz clic en Mostrar e introduce cada archivo o carpeta en la columna Nombre de valor. Escribe 0 en la columna Valor para cada elemento.

PowerShell

Advertencia

Si administras tus equipos y dispositivos con Intune, SCCM u otra plataforma de administración de nivel empresarial, el software de administración sobrescribirá cualquier configuración de PowerShell en conflicto en el inicio.

  1. Tipo de powershell en el menú Inicio, haz clic en Windows PowerShell y haz clic en Ejecutar como administrador.

  2. Introduce el cmdlet siguiente:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    

    Para habilitar las reglas ASR en modo auditoría, usa el cmdlet siguiente:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    

    Para desactivar las reglas ASR, usa el siguiente cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled
    

    Importante

    Debes especificar el estado de forma individual para cada regla, pero puedes combinar las reglas y los Estados en una lista separada por comas.

    En el siguiente ejemplo, se habilitarán las dos primeras reglas, se deshabilitará la tercera regla y se habilitará la regla cuarto en modo auditoría:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
    

    También puedes usar el verbo Add-MpPreference de PowerShell para agregar nuevas reglas a la lista existente.

    Advertencia

    Set-MpPreference siempre sobrescribirá el conjunto de reglas existente. Si quieres agregar al conjunto existente, debes usar Add-MpPreference en su lugar. Puedes obtener una lista de reglas y su estado actual mediante el uso de Get-MpPreference

  3. Para excluir archivos y carpetas de las reglas ASR, usa el siguiente cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

    Seguir usando Add-MpPreference -AttackSurfaceReductionOnlyExclusions para agregar más archivos y carpetas a la lista.

    Importante

    Usa Add-MpPreference para anexar o agregar aplicaciones a la lista. Al usar el cmdlet Set-MpPreference, se sobrescribirá la lista existente.

Temas relacionados