Evaluar la protección contra vulnerabilidades

Se aplica a:

La protección contra vulnerabilidades ayuda a proteger los dispositivos de malware que usan puntos débiles para difundir e infectar otros dispositivos. Se compone de una serie de factores atenuantes que pueden aplicarse al sistema operativo o a una aplicación individual. Muchas de las características que formaban parte del Kit de herramientas de mejora de la experiencia de mitigación (Emet) se incluyen en la protección contra vulnerabilidades.

Este tema le ayuda a habilitar la protección contra vulnerabilidades en el modo auditoría y a revisar los eventos relacionados en el visor de eventos. Puede habilitar el modo de auditoría para determinados factores atenuantes de aplicaciones para ver cómo funcionarán en un entorno de prueba. Esto le permite ver un registro de lo que habría sucedido si hubiera habilitado la mitigación en la producción. Puede asegurarse de que no afecte a las aplicaciones de línea de negocio y ver qué eventos sospechosos o malintencionados se han producido.

Sugerencia

También puede visitar el sitio web de Windows Defender Testground en Demo.WD.Microsoft.com para ver cómo funciona la protección contra ataques.

Habilitar la protección contra ataques en modo auditoría

Puede establecer mitigaciones en el modo de auditoría para programas específicos con la aplicación de seguridad de Windows o PowerShell.

Aplicación de seguridad de Windows

  1. Abra la aplicación de seguridad de Windows haciendo clic en el icono de escudo de la barra de tareas o en el menú Inicio para defender.

  2. Haga clic en el mosaico control del explorador & de la aplicación (o en el icono de la aplicación en la barra de menús izquierda) y luego haga clic en protección contra ataques.

  3. Vaya a configuración del programa y elija la aplicación en la que desea aplicar las mitigaciones:

    1. Si la aplicación que deseas configurar ya está en la lista, haz clic en ella y, a continuación, haz clic en Editar
    2. Si la aplicación no aparece, haz clic en Agregar programa personalizar, en la parte superior de la lista, y después elige cómo quieres agregar la aplicación:
      • Usa Agregar por nombre de programa para aplicar la mitigación a cualquier proceso en ejecución con ese nombre. Debes especificar un archivo con una extensión. Puedes introducir una ruta de acceso completa para limitar la mitigación solo a la aplicación con ese nombre en esa ubicación.
      • Usa Elegir la ruta de acceso al archivo exacta para usar una ventana estándar del Explorador de Windows para buscar y seleccionar el archivo que desea.
  4. Después de seleccionar la aplicación, verás una lista de todas las mitigaciones que se pueden aplicar. Al elegir Auditoría se aplicará la mitigación solo en modo de auditoría. Se te notificará si es necesario reiniciar el proceso o la aplicación, o si es necesario reiniciar Windows.

  5. Repite esto para todas las aplicaciones y mitigaciones que quieras configurar. Haz clic en Aplicar cuando hayas terminado de establecer la configuración.

PowerShell

Para establecer mitigaciones del nivel de aplicación en el modo auditoría Set-ProcessMitigation , use el cmdlet modo de auditoría .

Configure cada solución en el siguiente formato:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Donde:

  • <Scope>:
    • -Name para indicar las mitigaciones que deben aplicarse a una aplicación específica. Especifica el ejecutable de la aplicación después de esta marca.
  • <Action>:
    • -Enable para habilitar la mitigación
    • -Disable para deshabilitar la mitigación
  • <Mitigation>:
    • El cmdlet de la mitigación, según se define en la tabla siguiente. Cada mitigación se separa con una coma.
Mitigación Cmdlet de modo de auditoría
Protección de código arbitrario (ACG) AuditDynamicCode
Bloquear imágenes de baja integridad AuditImageLoad
Bloquear fuentes no de confianza AuditFont, FontAuditOnly
Protección de integridad de código AuditMicrosoftSigned, AuditStoreSigned
Deshabilitar las llamadas del sistema Win32k AuditSystemCall
No permitir procesos secundarios AuditChildProcess

Por ejemplo, para habilitar la protección de código arbitrario (ACG) en modo auditoría para una aplicación denominada prueba. exe, ejecute el siguiente comando:

Set-ProcesMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Puede deshabilitar el modo de -Enable -Disableauditoría sustituyendo por.

Revisar los eventos de auditoría de protección contra ataques

Para revisar qué aplicaciones se habrían bloqueado, abra el visor de eventos y filtre los eventos siguientes en el registro de mitigaciones de seguridad.

Función Proveedor/origen Id. de evento Descripción
Protección contra vulnerabilidades Seguridad: mitigaciones (modo kernel/modo usuario) uno Auditoría de ACG
Protección contra vulnerabilidades Seguridad: mitigaciones (modo kernel/modo usuario) 2 No permitir auditoría de procesos secundarios
Protección contra vulnerabilidades Seguridad: mitigaciones (modo kernel/modo usuario) 4 Bloquear auditoría de imágenes de baja integridad
Protección contra vulnerabilidades Seguridad: mitigaciones (modo kernel/modo usuario) siete Bloquear auditoría de imágenes remotas
Protección contra vulnerabilidades Seguridad: mitigaciones (modo kernel/modo usuario) 99,999 Deshabilitar auditoría de llamadas del sistema win32k
Protección contra vulnerabilidades Seguridad: mitigaciones (modo kernel/modo usuario) once Auditoría de protección de integridad de código

Temas relacionados