Habilitar la protección contra vulnerabilidades

Se aplica a:

La protección contra vulnerabilidades ayuda a proteger contra malware que usa ataques para infectar dispositivos y repartirlos. Se compone de una serie de factores atenuantes que pueden aplicarse al sistema operativo o a aplicaciones individuales.

Muchas características del kit de herramientas de mejora de la experiencia de mitigación (EMET) se incluyen en la protección contra vulnerabilidades.

También puede establecer mitigaciones en el modo auditoría. Modo auditoría te permite probar cómo trabajarían las mitigaciones (y revisar eventos) sin afectar al uso normal del equipo.

Puede habilitar cada mitigación por separado usando cualquiera de estos métodos:

Se configuran de forma predeterminada en Windows 10.

Puede establecer cada mitigación en activado, desactivado o en el valor predeterminado. Algunos factores atenuantes tienen opciones adicionales.

Puede exportar esta configuración como un archivo XML e implementarla en otros equipos.

Aplicación de seguridad de Windows

  1. Abra la aplicación de seguridad de Windows haciendo clic en el icono de escudo de la barra de tareas o en el menú Inicio para defender.

  2. Haga clic en el mosaico control del explorador & de la aplicación (o en el icono de la aplicación en la barra de menús izquierda) y luego haga clic en protección contra ataques.

  3. Vaya a configuración del programa y elija la aplicación en la que desea aplicar las mitigaciones:

    1. Si la aplicación que deseas configurar ya está en la lista, haz clic en ella y, a continuación, haz clic en Editar
    2. Si la aplicación no aparece, haz clic en Agregar programa personalizar, en la parte superior de la lista, y después elige cómo quieres agregar la aplicación:
      • Usa Agregar por nombre de programa para aplicar la mitigación a cualquier proceso en ejecución con ese nombre. Debes especificar un archivo con una extensión. Puedes introducir una ruta de acceso completa para limitar la mitigación solo a la aplicación con ese nombre en esa ubicación.
      • Usa Elegir la ruta de acceso al archivo exacta para usar una ventana estándar del Explorador de Windows para buscar y seleccionar el archivo que desea.
  4. Después de seleccionar la aplicación, verás una lista de todas las mitigaciones que se pueden aplicar. Al elegir Auditoría se aplicará la mitigación solo en modo de auditoría. Se te notificará si es necesario reiniciar el proceso o la aplicación, o si es necesario reiniciar Windows.

  5. Repite esto para todas las aplicaciones y mitigaciones que quieras configurar.

  6. En la sección Configuración del sistema, busca la mitigación que quieras configurar y selecciona una de las posibilidades siguientes: Las aplicaciones que no están configuradas de forma individual en la sección Configuración del programa usarán las opciones configuradas aquí:

    • Activada de manera predeterminada: la mitigación está habilitada para las aplicaciones que no tengan esta mitigación establecida en la sección específica de la aplicación Configuración de programas
    • Desactivada de manera predeterminada: la mitigación está deshabilitada para las aplicaciones que no tengan esta mitigación establecida en la sección específica de la aplicación Configuración de programas
    • Usar predeterminada: la mitigación está habilitada o deshabilitada, según la configuración predeterminada que esté configurada en la instalación de Windows 10; el valor predeterminado (Activada o Desactivada) siempre se especifica junto a la etiqueta Usar predeterminada de cada mitigación
  7. Repite esto para todas las mitigaciones al nivel del sistema que quieras configurar. Haz clic en Aplicar cuando hayas terminado de establecer la configuración.

Si agregas una aplicación a la sección Configuración de programas y configuras allí ajustes de mitigaciones individuales, se aceptarán por encima de la configuración para las mismas mitigaciones especificadas en la sección Configuración del sistema. La matriz y los ejemplos siguientes ayudan a explicar cómo funcionan los valores predeterminados:

Habilitado en Configuración de programas Habilitado en Configuración de programas Comportamiento
Check mark yes Check mark no Conforme viene definido en Configuración de programas
Check mark yes Check mark yes Conforme viene definido en Configuración de programas
Check mark no Check mark yes Conforme viene definido en Configuración del sistema
Check mark no Check mark yes Valor predeterminado según se define en la opción Usar predeterminada

Ejemplo 1

Mikael configura Prevención de ejecución de datos (DEP) en la sección Configuración del sistema para que sea Desactivado de manera predeterminada.

Mikael, a continuación, agrega la aplicación test.exe a la sección Configuración de programas. En las opciones de la aplicación, en Prevención de ejecución de datos (DEP), habilita la opción Invalidar la configuración del sistema y establece el conmutador en Activado. No hay ninguna otra aplicación enumerada en la sección Configuración de programas.

El resultado será que DEP solo estará habilitada para test.exe. Todas las demás aplicaciones no tendrán DEP aplicada.

Ejemplo 2

Josie configura Prevención de ejecución de datos (DEP) en la sección Configuración del sistema para que sea Desactivado de manera predeterminada.

Josie, a continuación, agrega la aplicación test.exe a la sección Configuración de programas. En las opciones de la aplicación, en Prevención de ejecución de datos (DEP), habilita la opción Invalidar la configuración del sistema y establece el conmutador en Activado.

Josie también agrega la aplicación miles.exe a la sección Configuración de programas y configura Protección de flujo de control (CFG) en Activado. Ella no habilita la opción Invalidar la configuración del sistema para DEP ni ninguna otra mitigación para esa aplicación.

El resultado será que DEP estará habilitada para test.exe. DEP no se habilitará para ninguna otra aplicación, incluida miles.exe. CFG se habilitará para miles.exe.

  1. Abra la aplicación de seguridad de Windows haciendo clic en el icono de escudo de la barra de tareas o en el menú Inicio para defender.

  2. Haga clic en el mosaico control del explorador & de la aplicación (o en el icono de la aplicación en la barra de menús izquierda) y luego haga clic en protección contra ataques.

  3. Vaya a configuración del programa y elija la aplicación en la que desea aplicar las mitigaciones:

    1. Si la aplicación que deseas configurar ya está en la lista, haz clic en ella y, a continuación, haz clic en Editar
    2. Si la aplicación no aparece, haz clic en Agregar programa personalizar, en la parte superior de la lista, y después elige cómo quieres agregar la aplicación:
      • Usa Agregar por nombre de programa para aplicar la mitigación a cualquier proceso en ejecución con ese nombre. Debes especificar un archivo con una extensión. Puedes introducir una ruta de acceso completa para limitar la mitigación solo a la aplicación con ese nombre en esa ubicación.
      • Usa Elegir la ruta de acceso al archivo exacta para usar una ventana estándar del Explorador de Windows para buscar y seleccionar el archivo que desea.
  4. Después de seleccionar la aplicación, verás una lista de todas las mitigaciones que se pueden aplicar. Al elegir Auditoría se aplicará la mitigación solo en modo de auditoría. Se te notificará si es necesario reiniciar el proceso o la aplicación, o si es necesario reiniciar Windows.

  5. Repite esto para todas las aplicaciones y mitigaciones que quieras configurar. Haz clic en Aplicar cuando hayas terminado de establecer la configuración.

Intune

  1. Inicie sesión en Azure portal y abra Intune.
  2. Haga clic enperfiles > de configuración > de dispositivocrear perfil.
  3. Asigne un nombre al perfil, elija Windows 10 y versiones posteriores y protección de extremos. Crear Perfil de Endpoint Protection
  4. Haga clic en configurar > la > proteccióncontra vulnerabilidad de proteccióncontra Windows Defender.
  5. Cargar un archivo XML con la configuración de protección contra vulnerabilidades:
    Habilitar la protección de red en Intune
  6. Haga clic en Aceptar para guardar cada Blade abierto y haga clic en crear.
  7. Haga clic en las asignacionesde perfil, asigne a todos los usuarios & todos los dispositivosy haga clic en Guardar.

MDM

Use el proveedor de servicios de configuración ./Vendor/msft/Policy/config/ExploitGuard/ExploitProtectionSettings (CSP) para habilitar o deshabilitar los factores atenuantes de protección contra ataques o para usar el modo de auditoría.

SCCM

  1. En System Center Configuration Manager, haga clic en protección delextremo > de cumplimiento > y de activos deWindows Defender.
  2. Haga clic en Inicio > ,crear Directiva de protección contra ataques.
  3. Escriba un nombre y una descripción, haga clic en protección contra vulnerabilidady, a continuación, haga clic en siguiente.
  4. Vaya a la ubicación del archivo XML de protección contra vulnerabilidades y haga clic en siguiente.
  5. Revise la configuración y haga clic en siguiente para crear la Directiva.
  6. Una vez creada la Directiva, haga clic en cerrar.

Directiva de grupo

  1. En el equipo de administración de directivas de grupo, abre la Consola de administración de directivas de grupos., haz clic con el botón derecho en el objeto de directiva de grupo que quieras configurar y haz clic en Editar.

  2. En el Editor de administración de directivas de grupo , vaya a configuración del equipo y haga clic en plantillas administrativas.

  3. Expandir el árbol a los componentes > de Windowsdefender aprovechamiento > **** > de protección contra ataques de Windows Defenderuse un conjunto común de configuración de protección de vulnerabilidad.

  4. Haga **** clic en habilitado y escriba la ubicación del archivo XML y haga clic en Aceptar.

PowerShell

Puedes usar el verbo de PowerShell Get o Set con el cmdlet ProcessMitigation. Con Get se enumera el estado actual de configuración de todas las mitigaciones que se hayan habilitado en el dispositivo: agrega el cmdlet -Name y el ejecutable de la aplicación para ver las mitigaciones solo para esa aplicación:

Get-ProcessMitigation -Name processName.exe 

Importante

Las mitigaciones de nivel del sistema que no se han configurado mostrarán un estado de NOTSET.

Para la configuración del nivel del sistema, NOTSET indica que se ha aplicado la configuración predeterminada de dicha mitigación.

Para la configuración del nivel de la aplicación, NOTSET indica que se aplicará la configuración del nivel del sistema de la mitigación.

La configuración predeterminada de cada mitigación de nivel de sistema se puede ver en la seguridad de Windows.

Usa Set para configurar cada mitigación con el formato siguiente:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Donde:

  • <Scope>:
    • -Name para indicar las mitigaciones que deben aplicarse a una aplicación específica. Especifica el ejecutable de la aplicación después de esta marca.
    • -System para indicar que la mitigación debe aplicarse al nivel del sistema
  • <Action>:
    • -Enable para habilitar la mitigación
    • -Disable para deshabilitar la mitigación
  • <Mitigation>:
    • El cmdlet de la mitigación junto con las subopcións (rodeados de espacios). Cada mitigación se separa con una coma.

Por ejemplo, para permitir que la mitigación de Prevención de ejecución de datos (DEP) con la emulación de invocación de ATL y para un archivo ejecutable denominado testing.exe en la carpeta C:\Apps\LOB\tests, y para impedir que ese archivo ejecutable cree procesos secundarios, deberías usar el siguiente comando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Importante

Separe cada opción de mitigación con comas.

Si quieres aplicar DEP al nivel del sistema, deberías usar el siguiente comando:

Set-Processmitigation -System -Enable DEP

Para deshabilitar las mitigaciones, puedes reemplazar -Enable por -Disable. Sin embargo, para mitigaciones a nivel de aplicación, esto forzará que se deshabilite la mitigación solo para esa aplicación.

Si necesitas restaurar la mitigación a la predeterminada del sistema, debes incluir también el cmdlet -Remove, como se indica en el siguiente ejemplo:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

En esta tabla se enumeran los cmdlets de PowerShell (y los cmdlet asociados de modo de auditoría) que pueden usarse para configurar cada mitigación.

Mitigación Aplicación Cmdlets de PowerShell Cmdlet de modo de auditoría
Protección de flujo de control (CFG) Nivel del sistema y de aplicación CFG, StrictCFG, SuppressExports Auditoría no disponible
Prevención de ejecución de datos (DEP): Nivel del sistema y de aplicación DEP, EmulateAtlThunks Auditoría no disponible
Forzar la aleatorización de imágenes (ASLR obligatorio) Nivel del sistema y de aplicación ForceRelocateImages Auditoría no disponible
Aleatorizar las asignaciones de memoria (ASLR de abajo arriba) Nivel del sistema y de aplicación BottomUp, HighEntropy Auditoría no disponible
Validar cadenas de excepciones (SEHOP) Nivel del sistema y de aplicación SEHOP, SEHOPTelemetry Auditoría no disponible
Validar integridad de montón Nivel del sistema y de aplicación TerminateOnHeapError Auditoría no disponible
Protección de código arbitrario (ACG) Solo a nivel de aplicación DynamicCode AuditDynamicCode
Bloquear imágenes de baja integridad Solo a nivel de aplicación BlockLowLabel AuditImageLoad
Bloquear imágenes remotas Solo a nivel de aplicación BlockRemoteImages Auditoría no disponible
Bloquear fuentes no de confianza Solo a nivel de aplicación DisableNonSystemFonts AuditFont, FontAuditOnly
Protección de integridad de código Solo a nivel de aplicación BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Deshabilitar puntos de extensión Solo a nivel de aplicación ExtensionPoint Auditoría no disponible
Deshabilitar las llamadas del sistema Win32k Solo a nivel de aplicación DisableWin32kSystemCalls AuditSystemCall
No permitir procesos secundarios Solo a nivel de aplicación DisallowChildProcessCreation AuditChildProcess
Exportar filtrado de direcciones (EAF) Solo a nivel de aplicación EnableExportAddressFilterPlus, EnableExportAddressFilter [1] Auditoría no disponible
Importar filtrado de direcciones (IAF) Solo a nivel de aplicación EnableImportAddressFilter Auditoría no disponible
Simular ejecución (SimExec) Solo a nivel de aplicación EnableRopSimExec Auditoría no disponible
Validar la invocación de API (CallerCheck) Solo a nivel de aplicación EnableRopCallerCheck Auditoría no disponible
Validar uso de controladores Solo a nivel de aplicación StrictHandle Auditoría no disponible
Validar integridad de dependencia de imágenes Solo a nivel de aplicación EnforceModuleDepencySigning Auditoría no disponible
Validar integridad de pila (StackPivot) Solo a nivel de aplicación EnableRopStackPivot Auditoría no disponible

[1]: usa el siguiente formato para habilitar módulos EAF para las dll de un proceso:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll 

Personalizar la notificación

Consulte el tema de seguridad de Windows para obtener más información sobre la personalización de la notificación cuando se desencadena una regla y se bloquea una aplicación o un archivo.

Temas relacionados