Ajuste la reducción de la superficie de ataque en Windows 10

Attack Surface Reduction es una nueva característica de seguridad de Windows Defender Exploit Guard en Windows 10 que Microsoft presentó en Fall Creators Update.

Reducir la superficie del ataque puede evitar las acciones habituales del malware que se ejecuta en dispositivos con Windows 10 que tienen esta característica habilitada.

La función se basa en reglas y está diseñada para acciones y comportamientos que suelen ser dañinos. Puede incluir reglas que bloqueen la ejecución de secuencias de comandos ofuscadas, contenido ejecutable en clientes de correo electrónico u Office para que no genere procesos secundarios.

La reducción de la superficie de ataque solo está disponible cuando la protección en tiempo real está habilitada en el programa antivirus Windows Defender.

Índice

    Reglas para reducir la superficie de ataque

    Las siguientes reglas están disponibles en Windows 10 Fall Creators Update:

    1. Bloquear la ejecución de scripts (potencialmente) ofuscados (5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
      )
    2. Bloquear contenido ejecutado en clientes de correo electrónico y webmail (BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550)
    3. Bloquear programas de Office para que no generen procesos secundarios (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
    4. Prohibir que las aplicaciones de Office creen archivos ejecutables (3B576869-A4EC-4529-8536-B80A7769E899)
    5. Prohibir que las aplicaciones de Office introduzcan datos en otros procesos (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)
    6. Bloquear la importación de Win32 desde el código de macro de Office (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B)
    7. Evite que JavaScript y VBScript ejecuten archivos ejecutables (D3E037E1-3EB8-44C8-A917-57927947596D)

    Ajustar la reducción de la superficie de ataque

    La protección frente a la reducción de la superficie de ataque se puede configurar de tres formas diferentes:

    1. Uso de la política de grupo.
    2. Uso de PowerShell.
    3. Uso de MDM CSP.

    Configuración de reglas a través de políticas

    política de reducción de la superficie de ataque

    Para comenzar, debe ejecutar el Editor de directivas de grupo. Tenga en cuenta que el Editor de directivas de grupo no está disponible en las versiones domésticas de Windows 10.

    Los usuarios domésticos pueden leer Policy Plus, que le permite editar políticas en Windows 10.

    1. Haga clic en la tecla de Windows, escriba gpedit.msc y presione Entrar para iniciar el Editor de directivas de grupo en Windows 10.
    2. Vaya a Configuración del equipo> Plantillas administrativas> Componentes de Windows> Antivirus de Windows Defender> Protección contra vulnerabilidades de Windows Defender> Reducir la superficie de ataque
    3. Haga doble clic en la política "Configurar reglas de reducción de superficie de ataque".
    4. Habilitar política.
    5. Cuando la política está habilitada, el botón "mostrar" está activado. Haga clic en mostrar para cargar la ventana "mostrar contenido".

    Mostrar contenido es una tabla que adopta una regla para reducir la superficie de ataque por fila. El nombre del valor es el identificador especificado en las reglas entre paréntesis anteriores.

    El valor toma la siguiente entrada:

    • 0 = deshabilitado. La regla no se aplica.
    • 1 = activado. La regla está en vigor y el modo de bloqueo está habilitado.
    • 2 = modo de auditoría. Los eventos se registrarán, pero no se seguirá la regla real.

    Configurar reglas usando PowerShell

    Puede usar PowerShell para configurar las reglas.

    1. Haga clic en la tecla de Windows, escriba PowerShell, mantenga presionadas las teclas Mayús y Ctrl y cargue el registro de PowerShell con un clic.

    Use el siguiente comando para agregar una regla de modo de bloqueo:

    Establecer-MpPreference -AttackSurfaceReductionRules_Ids <ідэнтыфікатар правіла> -AttackSurfaceReductionRules_Actions habilitado

    Use el siguiente comando para agregar una regla de modo de auditoría:

    Establecer-MpPreference -AttackSurfaceReductionRules_Ids <ідэнтыфікатар правіла> -AttackSurfaceReductionRules_Actions AuditMode

    Use el siguiente comando para deshabilitar la regla:

    Establecer-MpPreference -AttackSurfaceReductionRules_Ids <ідэнтыфікатар правіла> -AttackSurfaceReductionRules_Actions está deshabilitado

    Puede combinar varias reglas en un solo comando separando cada regla con una coma y enumerando los estados por separado para cada regla. Ejemplo:

    Establecer-MpPreference -AttackSurfaceReductionRules_Ids <Ідэнтыфікатар правіла>, <Ідэнтыфікатар правіла 2>, <Ідэнтыфікатар правіла 3> -AttackSurfaceReductionRules_Actions deshabilitado, habilitado, habilitado

    Nota: puede usar Set-MpPreference o Add-MpPreference. El comando Establecer siempre sobrescribirá el conjunto de reglas existente y el comando Agregar lo agregará sin sobrescribir las reglas existentes.

    Puede especificar un conjunto de reglas mediante el comando Get-MpPreference.

    Eventos de reducción de ataques

    eventos de reducción de la superficie de ataque

    Las entradas de registro se crean cada vez que cambia las reglas y cuando los eventos activan reglas en modo de auditoría o modo de bloqueo.

    1. Descargue el paquete de evaluación de Exploit Guard de Microsoft.
    2. Empaque el contenido del archivo en el sistema local para que asr-Eventos.xml esté disponible en el sistema.
    3. Haga clic en la tecla de Windows, ingrese al Visor de eventos y seleccione un elemento de la lista de sugerencias para cargar la interfaz del Visor de eventos.
    4. Cuando la interfaz esté abierta, elija Acción> Importar vista personalizada.
    5. Seleccione el archivo asr-Eventos.xml que extrajo anteriormente.
    6. Seleccione Aceptar cuando se abra la ventana "Importar archivo de vista personalizada". Puedes añadir una descripción si quieres.

    La nueva vista se enumera a continuación en la sección Vistas personalizadas, que muestra los siguientes eventos:

    • Id. de evento 1121: eventos de modo de bloque
    • El ID de evento 1122 es un evento de modo de auditoría
    • ID de evento 5007: evento de cambio de configuración.

    Excepto archivos y carpetas

    excluyendo la reducción de la superficie de ataque

    Puede excluir archivos o carpetas para que las reglas de reducción de la superficie expuesta a ataques no evalúen los elementos excluidos.

    • política de grupo: vaya a Configuración del equipo> Plantillas administrativas> Componentes de Windows> Antivirus de Windows Defender> Protección contra vulnerabilidades de Windows Defender> Reducir superficie de ataque> Excluir archivos y rutas de las reglas de reducción de superficie de ataque. Habilite la política, haga clic en mostrar y agregue archivos o carpetas (ruta de la carpeta o recurso, como c: Windows en el nombre del valor y 0 en el campo de valor de cada columna.
    • Potencia Shell: utilice el comando Add-MpPreference -AttackSurfaceReductionOnlyExclusions<поўны шлях або рэсурс>"para agregar archivos o carpetas a la lista de excepciones.

    Recursos de Microsoft

    Consulte los siguientes recursos en el sitio web de Microsoft para obtener más información sobre cómo reducir la superficie de ataque:

    Artículos de interés

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir

    Si continuas utilizando este sitio aceptas el uso de cookies. Más información